Le Privacy Shield , une alternative au RGPD ?

Successeur depuis 2016 du Safe Harbor de 2000 entre l’Europe et les Etats-Unis, le Privacy Shield est souvent présenté par ses bénéficiaires comme une alternative à l’obligation de se conformer au RGPD. Dans cet article je reviens sur les raisons qui ont amené à la mise en place du Privacy Shield, et au statut qu’il remplit par rapport au RGPD.

Quel responsable de traitement européen sous-traitant le traitement de ses données chez un prestataire de services basé aux Etats-Unis, et souhaitant légitimer le transfert international des données via la signature des clauses-types validées par la Commission Européenne, ne s’est vu opposer de refus de la part du sous-traitant sous prétexte qu’il s’était inscrit sur la liste des sociétés couvertes par le Privacy Shield, ou Bouclier de protection des données à caractère personnel ?

Plus encore, quelle société européenne ne s’est pas vue opposer de refus à la signature par un sous-traitant américain des clauses de traitement prévues à l’article 28 du RGPD au motif que le sous-traitant ayant souscrit au Privacy Shield, il n’avait pas à se conformer au droit européen des données européennes, et en particulier au RGPD ?

Mais que savons-nous au juste du Privacy Shield ? Et que savons-nous exactement de son champ d’application ? Ces sociétés américaines qui allèguent la suffisance du bouclier de protection comme alternative viable au RGPD ont-elles raison ? Peuvent-elles légalement se soustraire aux obligations que les responsables de traitement européens, soucieux de se conformer à leurs propres obligations en vertu du RGPD, tentent de leur imposer ?

Nous avons essayé de répondre à ces questions.

Le “Privacy Shield” v. le RGPD

Le problème de la légalité des transferts internationaux des données personnelles européennes vers les Etats-Unis n’est pas nouveau. Déjà en 2000, suite aux inquiétudes formulées de part et d’autre de l’Atlantique de voir les différences d’approche européenne et américaine en matière de protection des données à caractère personnel affecter négativement de nombreuses entreprises et industries et avoir un impact négatif sur les relations commerciales entre l’Europe et les Etats-Unis, la Commission Européenne et le Département américain du Commerce avaient adopté le « Safe Harbor » sous le couvert duquel la puissante Federal Trade Commission (FTC) américaine s’engageait à faire respecter les principes européens en matière de protection des données à caractère personnel par les acteurs américains. Las, en 16 ans d’existence, rarement la FTC s’est-elle enquise du respect des réglementations européennes par les sociétés américaines s’étant engagées à s’y conformer dans le cadre du programme dont elle était chargée d’assurer la mise en œuvre. L’affaire Schrems c. Facebook a eu raison du programme et donné lieu à son invalidation par la Cour Européenne de Justice en 2015, et à son remplacement par le Privacy Shield en 2016.

L’article 5 du RGPD énonce sept principes clés qui sont au cœur du régime général européen de protection des données:1) légitimité, honnêteté et transparence, 2) limitation du traitement, 3) minimisation des données, 4) exactitude, 5) limitation de stockage, 6) intégrité et confidentialité (sécurité), et 7) responsabilité.

En vertu du RGPD, les données personnelles des résidents de l’Union Européenne ne peuvent être transférées légalement en dehors de l’Espace Economique Européen (EEE) que si ce transfert est conforme aux conditions énoncées au chapitre V (articles 44-50)[1]du texte.  En particulier, les données personnelles ne peuvent être transférées en dehors de l’EEE que si la Commission européenne détermine que la juridiction qui les reçoit “assure un niveau de protection adéquat”, conformément au RGPD ; l’entité traitant des données a fourni des “garanties appropriées” quant au traitement; ou la personne concernée a fourni un consentement spécifique pour le transfert. En outre, le RGPD garantit un certain nombre de garanties de confidentialité aux résidents de l’UE, parmi lesquelles la notification rapide et obligatoire des violations de données susceptibles de «porter atteinte aux droits et libertés des personnes», l’accès aux données personnelles, la possibilité d’effacer ses données personnelles (le fameux “droit à l’oubli”), et la possibilité de transférer ses données personnelles d’une entité de traitement à une autre.

Pour transférer des données à caractère personnel de l’Union Européenne vers les États-Unis, différents outils sont disponibles, parmi lesquels l’utilisation des clauses contractuelles types, la mise en place de règles d’entreprise contraignantes, ou encore le « bouclier de protection des données », ou Privacy Shield.

Selon la CNIL[2], le Privacy Shield est un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux Etats-Unis.

Le bouclier de protection des données personnelles a été conçu pour répondre combler le vide créé par une perception européenne alléguant un manque de lois adéquates sur la protection des données aux États-Unis. Pour les entreprises qui s’auto-certifient sous le Privacy Shield, elle fournit une base légale pour le transfert des données personnelles des citoyens de l’Union Européenne vers et depuis les États-Unis.

Le Privacy Shield est conçu sous la forme d’un programme dans lequel les entreprises participantes sont considérées comme ayant mis en place une protection adéquate pour les données personnelles, facilitant ainsi leur transfert depuis l’Union Européenne. En bref, le Privacy Shield permet aux entreprises américaines, ou aux entreprises de l’Union Européenne travaillant avec des sociétés américaines, de satisfaire à cette exigence du RGPD. Le bouclier de confidentialité fournit aux résidents européens une voie spécifique pour demander aux entreprises américaines de fournir des garanties s’agissant de la protection assurée aux données en liaison avec leur stockage ou transfert. En effet, dans le cadre de ce programme, les États-Unis s’engagent à respecter les exigences européennes et à offrir un niveau adéquat de protection des données.

Pour adhérer au Privacy Shield, une entreprise basée aux États-Unis doit s’auto-certifier auprès du Département d’Etat au Commerce et s’engager publiquement à se conformer aux exigences du programme.

La demande d’auto-certification doit contenir au moins les informations suivantes :

  • le nom de l’organisation, son adresse postale, une adresse électronique, son numéro de téléphone, ainsi que celui de son télécopieur ;
  • une description des activités de traitement des données personnelles reçues de l’Union Européenne ; et
  • une description de la politique de confidentialité de l’organisation protégeant ces informations personnelles.

L’objectif du bouclier de protection est aussi de fournir un mode de règlement des différends gratuit et accessible. Les individus peuvent déposer une plainte directement auprès d’un participant au Privacy Shield et celui-ci doit répondre à la personne dans les 45 jours. Les participants au Privacy Shield doivent également s’engager à recourir à l’arbitrage à la demande de l’individu pour régler tout différend qui n’aura pas été réglé par d’autres mécanismes de règlement des litiges.[3]

Les préoccupations européennes à l’égard du Privacy Shield

Un an après sa mise en place, les critiques du bouclier de protection expriment déjà un certain nombre d’inquiétudes concernant la notion d ‘«auto-certification», l’objectivité du médiateur proposé, et la fenêtre de 45 jours allouée aux fins d’informer un résident européen de l’existence d’une faille sécuritaire.

Le groupe de travail de l’Article 29, ou « G29 », un organe consultatif composé d’un représentant de l’autorité de protection des données de chaque État membre de l’Union Européenne, du contrôleur européen de la protection des données, et de la Commission européenne, et qui a été remplacé depuis le 25 mai 2018 et l’entrée en vigueur du RGPD par le comité européen de la protection des données (EDPB), avait procédé en novembre 2017 à un premier examen du Privacy Shield, à l’issue duquel il avait souligné un certain nombre de préoccupations, parmi lesquelles un manque de directives pour les entreprises qui tentent de s’auto-certifier, un manque de surveillance active de la part des autorités américaines, et un manque de définition ou de distinction des concepts importants. En effet, les principes et les garanties offerts par le Privacy Shield sont énoncés dans la décision sur l’adéquation et dans ses annexes rendant l’information à la fois difficile à trouver et parfois incohérente.  En conclusion, le G29 prend note d’un certain nombre d’améliorations apportées par le Privacy Shield par rapport au Safe Harbor. Mais, compte tenu des préoccupations exprimées et des clarifications demandées, il estime qu’il y a urgence à résoudre ces préoccupations et à fournir les clarifications demandées afin de satisfaire aux exigences du RGPD.

En effet, si le Privacy Shield contient ses propres caractéristiques distinctes, le RGPD comprend également une variété d’obligations uniques et exclusives. Et si le Privacy Shield a bien été conçu en tenant compte des préoccupations européennes s’agissant du traitement des données personnelles aux Etats-Unis, en traitant à la fois des éléments de fond et de procédure, en revanche il ne constitue pas un mécanisme de conformité au RGPD en tant que tel, mais un mécanisme qui permet aux entreprises participantes de répondre aux exigences de l’Union Européenne pour le transfert de données personnelles vers des pays tiers. De fait, si la certification en vertu du Privacy Shield peut certainement fournir aux entreprises un bon départ pour répondre aux exigences de RGPD, elle ne garantit en aucune manière une conformité d’ensemble au Règlement.

Selon la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen, le récent scandale Facebook-Cambridge Analytica démontre les insuffisances du Privacy Shield, qui  continue d’être considéré par l’Union Européenne comme une version allégée du RGPD qui n’offre pas le même niveau de protection aux données personnelles de l’UE que celui fourni par la nouvelle réglementation européenne. Par une résolution qui vient d’être adoptée le 11 juin 2018, la LIBE estime que si les Etats-Unis ne se conforment pas à leurs engagements pris à l’égard de l’Union Européenne d’ici le 1erSeptembre de cette année, le Privacy Shield devra être suspendu. Affaire à suivre donc.

Toujours est-il que si vous vous trouvez dans la situation, en tant que responsable de traitement européen, de devoir argumenter auprès d’un sous-traitant américain des faiblesses du Privacy Shield, voilà de quoi vous aider à convaincre vos interlocuteurs de la pertinence pour eux de documenter, séparément à leurs obligations au titre du bouclier de protection des données personnelles, leur conformité aux exigences du RGPD.

[1]RGPD, chapitre V (articles 44-50), https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5

[2]Le Privacy Shield, https://www.cnil.fr/fr/le-privacy-shield

[3]https://www.privacyshield.gov/Key-New-Requirements

Cet article a été écrit en collaboration avec Sarah Lasson

Par |2018-06-21T14:27:40+00:0015 juin 2018|EU - fr|0 commentaire

À propos de l'auteur :

Laisser un commentaire