31 Mar Bilan et perspectives, près de 3 ans après l’invalidation du Privacy Shield
Le 14 mars dernier, le GESTE a organisé une table ronde consacrée aux perspectives de régulation des transferts de données entre l’Union européenne et les Etats-Unis, près de trois ans après l’invalidation du Privacy Shield. Les débats et le rappel des enjeux ont été introduits par Bertrand Gié, Président du Geste. Sous la modération de Samuel Le Goff, ont échangé lors de ce colloque Bruno Gencarelli (Commission européenne), Hannah Bracken (Département américain du Commerce), Pauline Dubarry (Représentation Permanente de la France auprès de l’Union européenne) et Etienne Drouard (Commission Affaires Réglementaires du Geste).
Compte rendu réalisé par Etienne Drouard (Partner – Hogan Lovells) et Clément Taieb (Trainee / Work Experience/Intern – Hogan Lovells).
L’invalidation du Privacy Shield par la CJUE et ses conséquences pour les éditeurs
La décision de la CJUE annulant le Privacy Shield en 2020 a emporté avec elle de nombreuses conséquences pour une multitude de secteurs et d’acteurs européens, notamment celui de l’édition de services en ligne et l’éco-système de la publicité digitale.
Parmi ces conséquences, une forte incertitude juridique, mais également structurelle : de nombreux éditeurs de services recourent à des prestataires de services américains pour leur activité. L’annulation du Privacy Shield a ouvert une période d’errance réglementaire de la part tant des entreprises que des régulateurs nationaux, les unes devant présenter des garanties impossibles, les autres développant une insatisfaction chronique.
Durant cette période floue, la CNIL a émis à l’été 2022, puis en février 2023 des vagues de courriers destinés à des éditeurs et des e-marchands, affirmant la non-conformité de Google Analytics au RGPD, sans énoncer de griefs ciblés, ni formuler de mises en demeure. Les éditeurs visés par ces campagnes d’intimidation ont eu deux options : changer de service de mesure d’audience ou mettre en place des mesures techniques telles que la proxyfication ou l’agrégation des données.
Dans ce contexte si particulier, le GESTE a entrepris divers dialogues, avec la CNIL et avec le gouvernement pour tenter de débloquer ou d’apaiser une situation insoluble pour les éditeurs de services en ligne français.
Le projet de décision d’adéquation s’attaque aux causes de l’invalidation du Privacy Shield
L’annulation du Privacy Shield par la CJUE dans l’arrêt Schrems II en juillet 2020 a été motivée par le fait que les données personnelles traitées par un prestataire informatique soumis au droit américain, seraient susceptibles d’être accédées par les autorités américaines de renseignement dans des conditions n’offrant pas les garanties de proportionnalité exigées en Europe par la Convention européenne de sauvegarde des Droits de l’Homme et reprises dans le RGPD.
En 2015, la CJUE avait invalidé dans son arrêt Schrems I l’accord Europe / Etats-Unis du Safe Harbor pour défaut de motivation des critères d’adéquation retenus par la Commission européenne à l’époque. Dans son arrêt Schrems II, la CJUE a dressé une véritable liste des critères européens d’appréciation des lois et garanties qui devraient être présentées dans les pays tiers destinataires de données, pour pouvoir faire l’objet d’une décision d’adéquation de la Commission européenne.
Le projet de décision d’adéquation : un nouvel espoir ?
Les discussions et négociations qui ont mené au projet de décision d’adéquation destiné à satisfaire les critères posés dans l’arrêt Schrems II, se traduisent par la volonté de garantir une protection effective et concrète des droits des personnes. Il s’agit de créer un véritable droit d’interrogation et de recours ouvert aux ressortissants de l’Union européenne, auprès d’un tribunal administratif américain nouveau et indépendant, chargé de veiller à l’application des engagements pris par le gouvernement fédéral américain et qui s’imposent à l’ensemble des organismes fédéraux de renseignement et d’enquête américains.
Cette décision d’adéquation n’a pas la nature d’un traité bilatéral. Il s’agit d’une décision unilatérale de la Commission européenne sur la base d’une analyse du droit américain modifié pour tenir compte de l’arrêt Schrems II. En tout état de cause, les institutions européennes sont conscientes des enjeux économiques et stratégiques liés aux transferts de données personnelles et souhaitent leur garantir une sécurité juridique.
La décision d’adéquation est subordonnée à la réalisation d’une condition : la Commission européenne doit pouvoir constater l’effectivité et la disponibilité des voies juridictionnelles américaines créées par l’Executive Order du 7 octobre 2022 promulgué par Joe Biden. Ce texte marque le début d’un nouveau cadre juridique pour les transferts de données personnelles entre l’Union européenne et les Etats-Unis. Il instaure un Data Privacy Framework (« DPF ») qui n’est pas une simple révision du Privacy Shield invalidé en 2020.
L’objectif du DPF est de construire un nouveau système de contrôle qui répond aux besoins concrets d’un recours effectif, indépendant, impartial, avec de véritables pouvoirs opposables et contraignants au bénéfice des ressortissants européens. A ce titre, le Privacy & Civil Liberties Oversight Board joue et jouera un rôle singulier, par exemple avec la publication d’un rapport annuel pour s’assurer de l’effectivité et l’indépendance des décisions prises.
Le CEPD – qui réunit les autorités nationales de protection des données – a été consulté sur le projet d’adéquation du DPF et a publié le 28 février 2023 un de ses avis les plus positifs qui soient, au regard des difficultés antérieures. Le CEPD salue les progrès significatifs sur la nécessité, la proportionnalité et sur le tribunal indépendant chargé de se prononcer sur les activités des services de renseignement et d’enquête des Etats-Unis, ce qui marque une véritable réponse aux griefs formulés par la CJUE dans l’arrêt Schrems II. Le nouvel organe administratif américain dispose de véritables pouvoirs d’enquête, de décision – pouvant aller jusqu’à ordonner la suppression des données –, tout en étant impartial et indépendant. L’ensemble des changements apportés par le DPF se traduisent en pratique par des changements au sein même des administrations et services fédéraux de resenignement et d’enquête américains.
Les entreprises américaines, pour leur part, devront toujours faire l’objet d’une certification et suivre un corpus de règles pour pouvoir prétendre bénéficier de la décision d’adéquation, sous le contrôle du Department of Commerce.
Les points d’attention qui entourent le processus d’adéquation en cours
La Commission européenne et certains Etats membres – dont la France – veulent s’assurer que les transferts ultérieurs de données feront l’objet de garanties en cascade, identiques à celles prises par la première entreprise adhérente au DPF et destinataire de données en provenance de l’Union européenne.
Le Geste et les représentants des entreprises européennes en général, veulent s’assurer que la décision d’adéquation sera autosuffisante pour les Etats membres, c’est-à-dire qu’elle ne sera pas interprétée par les régulateurs nationaux dans des conditions qui exigeraient des garanties supplémentaires à celles fixées par la Commission européenne dans sa décision.
De part et d’autre, chacun exerce un principe de précaution sur le suivi de l’application de cet accord au fil des futures administrations américaines et des interprétations européennes qui peuvent s’avérer parfois divergentes entre régulateurs nationaux.
Une adoption annoncée pour l’été 2023
La décision d’adéquation est attendue pour le début de l’été 2023. A compter de son adoption, les entreprises américaines qui le souhaitent pourront soumettre leur candidature et présenter leur certification auprès du département du Commerce américain pour figurer dans la liste des destinataires de données personnelles en provenance d’Europe qui relèvent d’un mécanisme d’adéquation prévu par le RGPD.