La gestion des données par les entreprises après Safe Harbour : point de vue d'un avocat

A l'heure où le numérique bat son plein et surfe parfois sur des vides juridiques, on assiste à un transfert massif et indifférencié, pour ne pas dire sauvage, de données personnelles de l'Europe vers les serveurs américains des géants du web devenus aujourd'hui incontournables : Google peut revendiquer chaque jour près de 8.64 milliards de recherches, Facebook 4.75 milliards de contenus partagés. L'individu, par l'utilisation en apparence gratuite d'internet, se retrouve alors, et souvent à son insu, lui-même produit de cette industrie avec mise à disposition sans garde-fous des données relatives à sa vie privée.

Or, le 6 octobre 2015, la CJUE invalidait la décision du 26 juillet 2000 de la Commission européenne qui considérait que les États-Unis assuraient un niveau de protection suffisant. En vertu de ce niveau de protection, le transfert de données à caractère personnel de l'Union européenne vers les États-Unis était autorisé. D'où le Safe Harbour (ou "sphère de sécurité") qui, depuis 15 ans, permettait aux entreprises américaines, plus de 5.000 à l'heure actuelle, d'auto-certifier auprès de leurs autorités locales qu'elles se conformaient au niveau de protection exigé en Europe.

De fait, le principe en Europe est celui de l'interdiction de transférer les données personnelles en dehors de l'UE (Directive 95/46/CE du 24 octobre 1995) sauf à ce que le pays destinataire soit reconnu par la Commission européenne comme "offrant un niveau de protection des données suffisant". L'Europe ne pouvant toutefois se cantonner à ses frontières et ces rares exceptions étatiques, plusieurs outils ont alors été mis en place pour permettre de tels flux notamment outre-Atlantique. On relèvera principalement :

- la possibilité de recueillir l'accord individuel et exprès de la personne à laquelle se rapporte les données, peu adaptée aux transferts de masse ;

- les clauses contractuelle types (ou Model Clauses) approuvées par la Commission européenne entre deux responsables de traitement ou un responsable et un sous-traitant,

-et les règles contraignantes d'entreprise (ou Binding Corporate Rules - BCR) limitées aux transferts intragroupe, ou encore l'adhésion aux programmes de Safe Harbour...

Un flou juridique brutal

S'en suit un flou juridique brutal aux enjeux financiers que l'on peine à quantifier : techniquement, à ce jour, l'ensemble des données personnelles ayant été transférées aux Etats-Unis en vertu du Safe Harbour (incluant notamment les solution de comptabilité, de gestion RH, d'hébergement cloud, les CRM, ou encore les outils de collecte de données et de marketing en ligne) ne devraient pas s'y trouver et tout transfert opéré de la sorte devrait être stoppé sur le champ, à défaut de quoi il sera jugé illégal. La réalité est nécessairement toute autre et appelle au pragmatisme.

Au niveau local, c'est la CNIL et ses homologues européens (G29) qui ont immédiatement pris le relai avec le blanc-seing de la CJUE. Dans son communiqué du 16 octobre dernier, le G29 enjoint aux États-membres et aux institutions européennes d'engager au plus vite des discussions avec les autorités américaines pour trouver "des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux." Les autorités américaines et européennes auront trois mois (soit jusqu'à fin janvier 2016) pour trouver un accord sur une nouvelle forme de Safe Harbour (2.0).
Le Groupe enfonce le clou et précise que "si aucune solution satisfaisante n'était trouvée avec les autorités américaines avant la fin du mois de janvier 2016", les CNIL européennes pourront "mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées." Par ailleurs, les autorités de protection locales pourront toujours "contrôler certains transferts, notamment à la suite de plaintes qu'elle pourraient recevoir."

Quelle gestion des données ?

En attendant un nouveau cadre juridique et des clignes directrices claires, les outils déjà en place - consentements individuels, clauses contractuelles types et BCR - doivent continuer à être utilisés par les entreprises et sont d'ailleurs encouragés compte-tenu des circonstances. A ce titre, le site de la CNIL met à disposition un guide qui permettra aux entreprises de réduire leur risque en adoptant la bonne démarche pendant cette période de transition.

Si, à l'heure actuelle, cette décision crée effectivement une nouvelle ère d'incertitude, elle démontre également une volonté claire et déterminée des autorités européennes de lutter in fine contre les dérives d'internet par la mise en oeuvre d'un meilleur cadre juridique. Reste à voir les moyens qui seront utilisés et leur force de coercition face à de tels acteurs économiques.

Focus sur ce périple judiciaire et les motifs de la décision

De Snowden à Schrems, c'est un nouveau combat que David livre à Goliath. Après avoir fait trembler le Gouvernement américain au sujet des écoutes de la NSA et de la CIA, c'est au tour de Facebook et par ricochet encore une fois des autorités américaines mais aussi de la Commission européenne, de faire les frais d'une action individuelle d'un nouveau genre.
Contestant la légalité des transferts de données des utilisateurs Facebook dans l'UE vers les serveurs américains de Facebook en Californie jusqu'alors couverts par le Safe Harbour américain, Maximillian Schrems, juriste autrichien lui-même utilisateur de Facebook depuis 2008, porte plainte devant l'autorité de protection des données irlandaise. C'est en effet depuis l'Irlande que Facebook transfère les données personnelles de pas moins de 300 millions d'utilisateurs européens vers les États-Unis. Sa plainte rejetée, c'est au tour de la Haute Cour de Justice irlandaise, saisie du litige, de surseoir à statuer et se tourner vers la CJUE avec deux questions préjudicielles. La décision de la Cour rendue le 6 octobre dernier est unique et sans appel : suivant les conclusions de l'Avocat général, la Cour juge que la Commission européenne ne pouvait se limiter à la seule analyse du Safe Harbour américain qu'elle avait avalisé en juillet 2000 et devait apprécier si les États-Unis assuraient effectivement un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l'UE, ce qu'elle n'avait pas fait. En l'absence d'un tel contrôle in concreto, la Cour prononce alors l'invalidation de la décision d'adéquation.

Quant à Max Schrems, il poursuit son action individuelle tout d'abord en Autriche où le 21 octobre dernier, la Cour d'appel de Vienne a jugé recevable sa plainte individuelle contre Facebook. En Irlande, c'est la Commission nationale de protection des données qui, sur ordre de la Haute Cour de Justice, doit maintenant enquêter sur l'envoi des données vers les serveurs californiens de Facebook et le fond de la plainte de Max Schrems. Facebook se prépare à de longues et minutieuses investigations et prépare sa défense déclarant pour sa part n'avoir jamais participé à un quelconque programme permettant de donner un accès direct au gouvernement américain à leurs serveurs. Le ton est donné.

Lire aussi le décryptage avec Marc Désenfant, directeur général d'Actito France des conséquences pour les responsables marketing européens.

Auteur

Me Frédérique Sallée, avocate of counsel, DLA piper

Frédérique Sallée,conseille des clients français et internationaux opérant en France dans diverses industries de biens ou de services. Ses domaines d'intervention incluent en particulier les restructurations d'entreprises (préparation des dossiers économiques et plans de sauvegarde de l'emploi, gestion des négociations avec les partenaires sociaux et les acteurs publics), le suivi quotidien des relations sociales au sein de l'entreprise (contrats de travail, accords collectifs, mobilité internationale, emploi des mandataires sociaux, rupture des contrats de travail, accords transactionnels et gestion des contentieux afférents), la formation interne du personnel sur les problématiques de droit du travail et les audits de cessions/acquisitions. Elle représente également ses clients devant les juridictions prud'homales ainsi que devant les juridictions civiles et administratives pour des conflits collectifs ou individuels.

DLA Piper