Transfert de données à caractère personnel UE-Etats Unis : nouvel épisode du feuilleton « Privacy Shield » (Réflexions à propos du rapport du Groupe de l’article 29 relatif au premier examen annuel conjoint du Privacy Shield, WP 255)

A l’image des séries télévisées qui tiennent en haleine de nombreux spectateurs durant de nombreuses « saisons », le dernier épisode du feuilleton Privacy Shield ne manquera pas de passionner les analystes s’intéressant à la protection des données à caractère personnel.

Le « Groupe de l’article 29 », constitué sur la base de l’article 29 de la directive 95/46/CE, texte législatif fondamental en matière de protection des données au sein de l’UE, et qui réunit des représentants des différentes autorités nationales de protection des données, vient en effet de publier un rapport sévère relatif au premier examen annuel conjoint du Privacy Shield. Ce « bouclier de sécurité », sur la base duquel sont effectués les transferts de données à caractère personnel de l’UE vers les Etats-Unis, a remplacé, on s’en souvient, le « Safe Harbor », qui avait été invalidé par la Cour de Justice de l’UE dans son célèbre arrêt Schrems du 6 octobre 2015. Les données personnelles des citoyens européens, pour pouvoir être transférées vers un Etat tiers, doivent en effet y bénéficier d’un « niveau de protection adéquat », aux termes de l’article 25 de la directive 95/46 précitée, dont s’assure la Commission européenne, qui publie alors une « décision d’adéquation ». S’agissant du flux commercial de données personnelles vers les Etats-Unis, et compte tenu du contexte politique et juridique spécifique quant à la protection des données outre Atlantique, l’Union européenne a renégocié le Safe Harbor, parvenant à la conclusion du Privacy Shield en février 2016, puis la Commission a publié sa décision d’adéquation le 12 juillet 2016, permettant l’entrée en vigueur du nouveau mécanisme le 1ier août de la même année.

Depuis lors, le Privacy Shield, censé combler les lacunes de son prédécesseur, n’a cessé toutefois de focaliser les critiques. La première évaluation annuelle conjointe du nouveau dispositif a été ainsi l’occasion de passer au crible ses insuffisances, aux fins de son amélioration par les partenaires américains de l’UE. Si la Commission a semblé délivrer un satisfecit global, une lecture attentive de son rapport montre toutefois de nombreuses insuffisances, que le Groupe de l’article 29 (G29) vient à son tour de mettre en pleine lumière.

1.  Un satisfecit apparent délivré par la Commission européenne au Privacy Shield

Le rapport rendu par la Commission le 18 octobre dernier fait suite à l’examen annuel conjoint, qui s’est tenu à Washington les 18 et 19 septembre, entre Mme Vera Jourova, commissaire européenne à la justice, assistée notamment de huit représentants du G29 ainsi que du Contrôleur Européen de la protection des données, et M. Wilbur Ross, secrétaire d’Etat américain au commerce. Ce rapport s’est appuyé sur les réunions avec l’ensemble des autorités américaines compétentes, ainsi que sur les contributions d’un certain nombre de grandes entreprises adhérant au Privacy Shield, voire d’ONG actives dans le domaine des droits fondamentaux.

Les premières déclarations de la Commission, consécutives à la publication du rapport d’évaluation, semblaient globalement plutôt optimistes et positives. En effet, M. Andrus Ansip, vice-président de la Commission chargé du marché unique numérique, soulignait pour sa part : « ce premier réexamen démontre notre engagement à mettre en place un système de certification solide assorti de mesures de surveillance dynamiques » (voir IP/17/3966), Mme Vera Jourova notant quant à elle que « notre premier réexamen montre que le bouclier de protection des données fonctionne bien » (ibid.). Cet enthousiasme diplomatique a été naturellement partagé par le secrétaire américain au commerce, Wilbur Ross, qui n’a pas manqué de saluer les conclusions du rapport selon lesquelles le dispositif continue d’offrir un niveau de protection adéquat des données des Européens transférées à des fins commerciales aux entreprises américaines.

Les premières constatations et conclusions figurant dans le rapport de la Commission sont en effet particulièrement encourageantes, qu’on en juge par ces quelques passages :

« L’examen annuel a démontré que les autorités américaines ont mis en place les structures et procédures nécessaires au bon fonctionnement du bouclier de protection des données. La procédure de certification a été gérée de manière globalement satisfaisante (…). Les autorités américaines ont mis en place les mécanismes et procédures de traitement des réclamations et de surveillance de l’application afin de préserver les droits individuels. (…) Pour ce qui est de l’accès des autorités publiques aux données à caractère personnel à des fins de sécurité nationale, les garanties américaines pertinentes restent en place. (…) Dans ces conditions, la Commission tire la conclusion que les Etats-Unis continuent d’assurer un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies aux Etats-Unis dans le cadre du bouclier de protection des données ».

Mme Jourova, dès son retour à Bruxelles, a toutefois souligné son « optimisme prudent », qui se retrouve effectivement dans le rapport rendu par la Commission, formulé en des termes plus nuancés que les déclarations très diplomatiques qui s’affichent au premier abord. Il y est clairement indiqué en effet que le dispositif « peut faire l’objet d’améliorations », et la Commission liste un certain nombre de recommandations, extrêmement détaillées, dont une lecture attentive parvient à faire douter de la première impression…

Elle note ainsi que :

1°) Les entreprises ne devraient pas pouvoir se prévaloir publiquement de leur certification dans le cadre du bouclier de protection des données avant que ladite certification n’ait été finalisée par le ministère du commerce,

2°) Le ministère du commerce devrait effectuer une recherche « proactive et régulière de fausses déclarations »,

3°) Le ministère du commerce devrait effectuer régulièrement des contrôles de conformité,

4°) Tant le ministère du commerce que les autorités nationales (européennes) de protection des données devraient intensifier leurs efforts en vue d’informer les citoyens européens sur les modalités d’exercice de leurs droits dans le cadre du bouclier de protection des données,

5°) Certains concepts nécessitent d’être précisés, en particulier s’agissant du transfert ultérieur de données, ou de la définition des données relatives aux ressources humaines,

6°) L’article 702 de la loi sur la surveillance et le renseignement étranger (FISA) arrivant à échéance en décembre 2017, et devant être renouvelé par le Congrès américain, il serait souhaitable que ce dernier en profite pour renforcer les mesures de protection de la vie privée contenues dans cet acte, à l’image des dispositions figurant dans la directive présidentielle n°28 pour les personnes non américaines (dans l’idée de garantir la protection quelle que soit la nationalité ou le pays de résidence),

7°) Il convient de procéder rapidement à la nomination d’un médiateur permanent, prévu par le Privacy Shield, ainsi que des membres du PCLOB (Conseil de surveillance de la vie privée et des libertés civiles).

Les motifs d’amélioration sont nombreux, on le voit, et cela ne manque pas d’interroger sur la conclusion de la Commission, estimant qu’un « niveau de protection adéquat » des données à caractère personnel est effectivement garanti par le Privacy Shield…Le rapport, transmis au Parlement européen et au G29 pour avis, a suscité d’ailleurs nombre d’inquiétudes au sein des deux institutions, aussi critiques l’une que l’autre.

2.  Des insuffisances criantes mises en lumière par le G29

Avant le G29, les parlementaires européens, auxquels une représentante de la Commission est venue, le 6 novembre, présenter le rapport d’évaluation du dispositif transatlantique de protection des données, se sont émus des conclusions de celui-ci, se demandant si le Privacy Shield n’était pas un nouveau Safe Harbor…Certains estiment en effet possible que le nouvel accord suive le sort de son prédécesseur, tombé sous les foudres de la Cour de justice au hasard d’une question préjudicielle (affaire Schrems précitée). Est particulièrement critiquée l’absence de nomination d’un médiateur permanent, plus de dix mois après l’entrée en fonction de l’administration Trump.

Un certain nombre d’organisations partagent cette vision critique, comme par exemple le Bureau européen des unions de consommateurs (BEUC), ou le Conseil national du numérique (CNN) français. Le premier estime en effet, de façon radicale, qu’il « n’y a pas de protection équivalente des données personnelles aux Etats-Unis par rapport aux standards de l’UE et le Privacy Shield ne résout pas ce problème fondamental », tandis que le second souligne qu’il conviendrait de renégocier cet accord qui présente « un trop grand nombre de zones d’ombre » (voir Bulletin quotidien Europe n° 11865, 20 septembre 2017).

Il n’est pas étonnant, dans un tel contexte, que l’organe européen de protection des données, le G29, formule un avis très critique à l’encontre du Privacy Shield et, semble indirectement désavouer la Commission, qui est loin pourtant d’avoir délivré un blanc seing au mécanisme transatlantique de transfert de données personnelles. Mais sans doute, dans le théâtre des relations diplomatiques, chaque acteur tient-il parfaitement son rôle : la Commission arrondit les angles, dans le souci de maintenir l’indispensable dialogue avec l’administration américaine, pendant que le Parlement européen et le G29 assurent leur rôle de contrôle politique et juridique…

Pour qui a lu avec attention le rapport d’évaluation de la Commission évoqué ci-dessus, le rapport publié à son tour par le G29 le 5 décembre ne présente pas de véritable surprise sur le fond. En tout état de cause, le G29 adopte au départ une attitude conciliante, en reconnaissant les progrès du Privacy Shield par rapport au Safe Harbor, ainsi que les efforts déployés par les autorités américaines et la Commission pour mettre en œuvre le Privacy Shield. Le G29, dont huit de ses membres ont d’ailleurs participé à la délégation européenne dans le cadre de la mission d’évaluation, propose même son concours aux autorités américaines, afin de les conseiller dans la rédaction d’un certain nombre de dispositions qui requièrent des précisions (dans l’idée de produire une interprétation commune de certains concepts, tels ceux évoqués ci-dessus relatifs aux données Ressources Humaines ou aux transferts ultérieurs de données).

Mais dans un second temps, les critiques sont nombreuses et révèlent de vives préoccupations de la part de l’organe européen de protection des données. Le G29 a en effet identifié un certain nombre de « problèmes importants qui doivent être résolus par la Commission et les autorités américaines », à tel point qu’il appelle la Commission et les autorités compétentes des États-Unis à relancer les discussions, et à mettre en place « immédiatement » un plan d’action afin de prendre en compte ces préoccupations.

Les défauts ou lacunes du Privacy Shield pointés du doigt par le G29 sont pour l’essentiel identiques à ceux relevés par la Commission dans son propre rapport, mais avec plus de détails : manque de conseil pour les sociétés adhérant au mécanisme, manque d’information claire et facilement accessible pour les citoyens européens, manque de supervision quant au respect des principes du Privacy Shield par les sociétés adhérentes, nombreuses interrogations quant à la collecte de données par les autorités américaines à des fins de sécurité nationale (manque, notamment, de preuves ou de garanties juridiquement contraignantes sur l’absence de collecte de masse des données, de façon générale et indiscriminée ; ou encore, manque de contrôle de tous les programmes de surveillance), manque de garanties relatives au caractère effectif des recours judiciaires offerts aux ressortissants européens devant les juridictions américaines, défaut de nomination d’un Ombudsman permanent, défaut de mise en place du PCLOB (Privacy and Civil Liberties Oversight Board), qui devrait fonctionner « aussi rapidement que possible »…

Force est de constater que non seulement la liste des griefs est longue, mais que, en outre, certains points, tels ceux relatifs aux organes ou organismes de contrôle du système, sont tout à fait cruciaux au regard des standards européens en matière de protection des données, tels que les a rappelés par exemple la Cour de Justice dans son arrêt Schrems. Le G29 ne l’ignore pas, et c’est ainsi un véritable ultimatum qu’il pose à la fin de son rapport, enjoignant les autorités compétentes à répondre à ces préoccupations avant le 25 mai 2018, date de l’entrée en vigueur au sein de l’UE du nouveau règlement général relatif à la protection des données personnelles (RGPD).

Usant de toute la palette des instruments de négociation ou de pression dont il dispose, le G29, après avoir enjôlé (reconnu les mérites du nouvel accord), puis mis en garde (en montrant les problèmes de fond posés par le mécanisme), n’hésite pas à recourir in fine à la menace, en déclarant que ses membres prendront toutes les mesures appropriées, y compris l’introduction de la décision d’adéquation du Privacy Shield auprès des juridictions nationales afin que celles-ci saisissent la CJUE d’une demande de décision préjudicielle.

Après l’arrêt Schrems de la CJUE, il est difficile, sinon suicidaire, de ne pas prendre en compte une telle menace…Cette manœuvre du G29 paraît au demeurant d’autant plus bienvenue que le Tribunal de l’UE vient de rejeter comme irrecevable le recours en annulation présenté par Digital Rights Ireland Ltd contre la décision d’adéquation de la Commission relative au Privacy Shield par une ordonnance du 22 novembre 2017 (aff. T-670/16)…

Le juge est encore et toujours le meilleur rempart pour la sauvegarde de ce droit fondamental pour l’Union européenne, la protection des données à caractère personnel. Il reste aux autorités américaines à en prendre acte pour garantir la continuité du flux de données UE-Etats-Unis, et ce d’autant plus que le juge européen est attendu aussi sur un autre terrain : celui des clauses contractuelles types, qui ont constitué l’alternative au Safe Harbor, suite à son invalidation, afin de fournir une base légale au transfert de données vers les Etats-Unis (voir la décision du 3 octobre 2017 de la Haute Cour irlandaise qui, encore une fois sur recours de Max Schrems, a décidé de saisir la CJUE d’une question préjudicielle, afin de l’interroger sur le « niveau adéquat de protection » offert par ce mécanisme des clauses contractuelles types). Le feuilleton à rebondissements du Privacy Shield, et du transfert transatlantique de données, va sans doute nous tenir encore un temps en haleine…