Transfert de données personnelles entre l’Europe et les Etats-Unis
Breaking news ! En invalidant le programme Safe Harbor (« sphère de sécurité ») qui autorise les flux de données personnelles européennes vers les Etats-Unis, l’arrêt de la CJUE du 6 octobre 2015, bouleverse le marché de l’hébergement de données en faveur des prestataires localisés dans l’Union Européenne.
Rappelons tout d’abord que la règle européenne, et donc française, est d’interdire tout transfert de données personnelles en dehors de l’Union Européenne, en vertu de la Directive 95/46/CE du 24 octobre 1995 et des lois de transposition. La règle est toutefois assouplie par un tempérament : le transfert de données personnelles redevient possible si l’entreprise qui les reçoit à l’étranger présente un niveau de protection « adéquat », c’est-à-dire conforme au niveau de protection européen. Il existe plusieurs façons de permettre de tels flux transfrontaliers :
(i) obtenir de la CNIL une autorisation ad hoc, voie très rarement employée dans les faits ;
(ii) viser un pays dont les autorités européennes ont décrété qu’il fournissait un niveau de protection suffisant, comparable à la protection européenne ;
(iii) conclure des « clauses contractuelles types », telles que rédigées par le Groupe Art. 29 (réunissant les CNIL européennes), entre entité émettrice et entité réceptrice des données, si cette dernière n’est pas située dans un pays à la protection suffisante, (afin que se crée entre les deux entités une sorte de « hub » sécurisant juridiquement les traitements des données personnelles des européens) ;
(iv) déployer au sein d’un groupe international des « règles contraignantes d’entreprise », ou « BCR », autorisant alors les flux de données de filiale à filiale (mais qui sont par définition « intra-groupe » et ne peuvent s’étendre aux fournisseurs externes), ou enfin
(v) s’assurer que l’entité réceptrice, si elle est américaine, a adhéré au programme Safe Harbor précisément mis en place au début des années 2000 pour permettre aux entreprises européennes de travailler avec les prestataires américains (hébergeurs, éditeurs de services applicatifs, et aujourd’hui tous les acteurs du cloud, qu’il soit domestique (Google, Facebook…) ou professionnels (IBM, Microsoft, Oracle, etc.)).
Le « Safe Harbor » était un label de confiance, créé par la Commission européenne (décision n°520/2000/CE du 26 juillet 2000), autorisant les entreprises américaines à « auto-certifier » auprès des autorités américaines, qu’elles se conformaient au niveau de protection exigé en Europe, et qu’elles appliquaient les règles listées au sein du label.
Schématiquement, si les prestataires US confirmaient qu’ils se conforment à une demi-douzaine de principes (information des personnes concernées, refus de communication des données aux tiers, transferts ultérieurs limités, sécurité des données, proportionnalité des données par rapport à la finalité, droit d’accès et audit de conformité), alors ils pouvaient importer les données depuis l’Europe. Le fait que cette certification soit délivrée sur un mode déclaratif avait suscité de nombreuses critiques, notamment du Parlement européen, mais le système a prospéré, sous la pression conjuguée des entreprises européennes et américaines.
Cet accord a donc permis à de très nombreux clients européens de recourir aux services des prestataires américains, souvent en pointe sur les technologies de transfert, stockage ou traitements applicatifs. Et corrélativement, cet accord a permis à plus de 4.000 entreprises américaines de collecter et traiter les données personnelles de ressortissants français, et européens. Et il est certain que la confiance instaurée par ce mécanisme a accéléré le déploiement du cloud en Europe – mais par les géants américains en particulier.
Ce mécanisme reposait sur la confiance : confiance dans les entreprises américaines lorsqu’elles prétendent se conformer aux règles européennes, et confiance dans les autorités américaines lorsqu’elles confirment cette conformité. Au regard de la Directive européenne, de la législation française et des exigences de la CNIL, l’adhésion d’un prestataire américain au programme Safe Harbor réglait la question de la protection des données personnelles, si sensible en Europe.
Et rares sont les contrats IT qui vont au-delà de la vérification formelle de cette conformité, les entreprises américaines se contentant le plus souvent de communiquer à leurs clients européens une copie de son certificat d’adhésion au Safe Harbor – et il était plus prudent, pour les rédacteurs de contrats, de préciser qu’en toute hypothèse, le prestataire se conforme à la législation européenne de protection des données.
L’annulation de la décision de Bruxelles entraîne donc une invalidation généralisée des clauses posant l’adhésion du prestataire au Safe Harbor comme une garantie contractuelle de conformité aux exigences légales.
Les effets sont potentiellement ravageurs, puisque toute entreprise française utilisant les services d’un cloud US, pour gérer par exemple les carrières de ses salariés, les contacts de ses campagnes promotionnelles, ou la facturation de ses clients, expose donc les données personnelles de ses salariés, prospects ou clients à des traitements non conformes, et à des transferts non consentis.
Précisons que l’impact est essentiellement contractuel et juridique, la décision n’ayant pas d’effet concret sur les dispositifs de sécurité des datacenters et des serveurs ; les données des européens ne sont donc pas ouvertes aux quatre vents depuis le 6 octobre, elles restent protégées (ou pas) dans les mêmes conditions qu’elles l’étaient la veille, notamment contre les intrusions tierces malveillantes.
En revanche, si le Safe Harbor tombe, quels usages des données personnelles sont alors possible aux USA ? Et comment gérer le sort des contrats conclus entre clients européens et prestataires américains, puisqu’une condition de leur licéité vient de disparaître ?
1. La décision de la CJUE
La décision de la CJUE intervient dans un contexte particulier : l’affaire Schrems c/ Facebook, qui a vu un étudiant autrichien, Maximillian Schrems, exiger l’application par Facebook de la législation européenne autorisant la personne physique à réclamer communication de l’ensemble des données détenues par une entreprise sur lui, et prohibant la communication de ces données à des tiers sans l’autorisation préalable de la personne concernée.
L’affaire Schrems s’est doublée d’un contexte politique extrêmement sulfureux depuis les révélations du lanceur d’alerte Edward Snowden, qui a révélé l’ampleur des programmes d’interception et d’espionnage américains, qui piétinent allègrement les accords entre USA et Europe, ainsi que toute forme de protection légale de la vie privée des citoyens.
La NSA (mais pas seulement elle, on sait que les services secrets britanniques et français se sont livrés, et se livrent encore à ces interceptions massives, indifférenciées et parfaitement attentatoires aux libertés publiques et aux souverainetés nationales), est donc à l’origine d’une brutale destruction de la confiance qui présidait aux relations entre Europe et USA, à bien des niveaux.
Sans parler des aspects géostratégiques et politiques du scandale « PRISM », les révélations sur l’ampleur de la collecte illicite réalisée par les services américains ont engendré une perte de confiance qui a naturellement touché les acteurs américains du cloud, qu’ils soient tournés vers les particuliers (Facebook) ou vers les professionnels.
En effet, en se prévalant du Safe Harbor, ces entreprises américaines avaient certifié qu’elles entouraient les données personnelles des européens de toute la confidentialité nécessaire, qu’elles ne les communiquaient à personne et les protégeaient de toute captation non autorisée. Avec le scandale de la NSA, ces entreprises apparaissent en réalité soumises au bon-vouloir des autorités américaines, et pas même les plus légitimes ni les plus fiables.
Et ce n’est pas seulement le Patriot Act et les requêtes FISA qui permettaient aux autorités américaines de faire fi des engagements de confidentialité de ces entreprises : Snowden a témoigné du fait que certaines d’entre elles se faisaient les zélées complices des services de renseignement en facilitant des interceptions extrêmement massives.
Alors bien sûr, les géants du cloud et du numérique ont protesté, du moins en ont-ils fait mine, sentant bien qu’ils risquaient de perdre la clientèle des marchés européens. On a ainsi vu des sociétés dont il apparaissait clairement qu’elles collaboraient avec les autorités US au mépris des engagements contractés envers les entreprises et autorités européennes, s’indigner de telles intrusions sur leurs serveurs et des atteintes ainsi portées au secret d’affaires et/ou à la vie privée de leurs clients… Et le ballet des campagnes de communication a repris, chacun attestant qu’il résistait aux demandes abusives du gouvernement américain, et chacun mettant rapidement en place des systèmes de chiffrement – dont personne, pas plus qu’avant, ne peut affirmer qu’ils sont incassables par les services secrets.
Mais surtout, la Commission européenne et le Département du commerce américain ont entrepris des négociations afin de rénover le programme Safe Harbor, sérieusement remis en cause suite à la découverte des pratiques américaines…
Max Schrems, de son côté, avait introduit une réclamation en déniant à Facebook le droit de transférer les données personnelles des inscrits européens vers ses serveurs américains. De manière classique, Facebook s’est défendue en invoquant son adhésion au Safe Harbor, mais le litige a donné lieu à une question préjudicielle posée par la Haute Cour irlandaise saisie du dossier, à l’intention de la CJUE : les juridictions européennes sont-elles liées par la « constatation » de la Commission dans sa décision validant le Safe Harbor en 2000, selon laquelle les USA assurent un niveau de protection adéquat ?
Suivant la tendance de son avocat général, et sanctionnant au passage la lenteur des discussions entre Commission et Département US du commerce, la CJUE a d’abord constaté que les pratiques des autorités américaines montraient que le Safe Harbor n’était pas nécessairement mis en application.
Partant, la CJUE a décidé que les conditions dans lesquelles Facebook envoyait les données européennes vers les USA ne répondaient pas aux exigences de la législation européenne, que les autorités nationales n’étaient pas liées par la décision de la Commission qui ne pouvait en aucun cas de substituer aux investigations des CNIL européennes, et que l’une d’elle pouvait parfaitement considérer que le niveau « adéquat » de protection n’était pas assuré, nonobstant le « Safe Harbor ».
En substance, la CJUE indique qu’on peut ne pas se contenter d’une déclaration de principe (surtout lorsque les révélations des lanceurs d’alerte montrent qu’il ne s’agit que d’un vœu pieu), et qu’il appartient aux entreprises, et aux autorités européennes saisies, de vérifier, dans tous les cas qui leurs sont soumis, l’effectivité des protections.
Plus précisément, la CJUE invalide l’article 3 de la décision de 2000, en rappelant que la Commission européenne n’avait pas compétence pour limiter les pouvoirs de décision de chaque autorité nationale de contrôle (CNIL).
Une telle décision, qui annihile la « présomption » automatique issue du Safe Harbor, en sonne en réalité le glas : si la déclaration ne suffit pas, c’est qu’à chaque fois, le prestataire américain doit faire la preuve qu’il est conforme au niveau de protection européen, et s’y engager, par exemple en signant des clauses contractuelles types avec ses clients européens.
2. La portée de la décision de la CJUE
La décision de la CJUE confirme en réalité la divergence très nette qui existe entre l’Europe et les USA, quant à la protection des données personnelles et au respect de la volonté de l’individu. Elle constitue en outre la première réaction significative de l’Europe face à la découverte de l’espionnage dont elle est victime. D’aucuns s’étaient étonnés de la mollesse de la réaction des autorités françaises et plus généralement de l’apathie européenne, qui continue à négocier un vaste traité de libre-échange avec les USA tout en sachant que ses négociateurs sont sur écoute… La CJUE marque également son indépendance par rapport aux décisions de la Commission, et son attachement à la législation protectrice européenne.
A proprement parler, il n’y a pas eu d’annulation du Safe Harbor (la Commission refusant évidemment de se déjuger 15 ans plus tard), mais il est littéralement vidé de sa substance par la décision de la CJUE. La confiance ayant disparu, la CJUE enfonce le clou en confirmant qu’il n’existe pas de présomption valable et qu’une CNIL européenne est et reste compétente pour se prononcer au cas par cas, et considérer par exemple qu’une entreprise américaine ayant souscrit au Safe Harbor, ne respecte pas pour autant les règles de protection exigées en Europe.
De facto, tous les contrats qui avaient fait de l’adhésion Safe Harbor une condition sont potentiellement menacés, puisque partiellement illicites, ou en tous cas non-conformes aux règles européennes qui s’imposent aux entreprises européennes.
En cas de flux transfrontalier de données non autorisé, ou comme ici vers un pays n’offrant pas le « niveau adéquat » de protection, ces entreprises françaises risquent 5 ans d’emprisonnement et 300.000 € d’amende…
- Le premier effet de cette décision devrait être d’augmenter considérablement le flux de dossiers de la CNIL, les entreprises françaises souhaitant obtenir de leur autorité de référence la validation a posteriori des traitements qu’ils ont mis en place par contrats. Mais il est certain que la CNIL ne dispose pas des moyens d’aller enquêter chez tous les grands acteurs américains du cloud…
- En outre, il est désormais possible à tout un chacun, s’il s’estime lésé dans la protection de ses droits fondamentaux en raison de l’envoi de ses données personnelles outre-atlantique, de saisir la CNIL, qui est habilitée à enquêter sur la réclamation nonobstant l’adhésion Safe Harbor du prestataire, à exiger l’arrêt du traitement et à transmettre le dossier à la juridiction compétente.
- Certaines entreprises vont sans doute rapatrier leurs données vers des prestataires européens et des serveurs situés sur le territoire européen, seul moyen de faire échapper leurs données aux compétences exorbitantes et opaques des services secrets américains – encore faut-il s’interroger sur ce que les gouvernements européens s’autorisent eux-mêmes, qui n’est pas si différent des audaces de la NSA.
Il est donc probable que la question sera réglée de manière plus globale, tant sont nombreux les contrats liant les entreprises européennes et les prestataires américains, et tant sont lourds les enjeux opérationnels et financiers.
L’imbrication des économies numériques des deux continents rend aujourd’hui impossible, dans les faits, de cesser brutalement tous traitements et de rapatrier massivement les données : les conséquences seraient incalculables (et cela pose en filigrane la question terrible de la réversibilité du cloud dans son ensemble…).
La décision de la CJUE va nécessairement accélérer les discussions sur le Safe Harbor 2, qui ont pour but de réagir aux capacités d’investigations des services de renseignements et d’y poser certaines limites, afin de les rendre « moins » incompatibles avec les principes démocratiques, les souverainetés nationales et la libre concurrence.
En outre, l’adoption prochaine du Règlement européen de protection des données personnelles, qui a vocation à s’appliquer également aux prestataires prétendant conquérir la clientèle européenne, devrait également accélérer le traitement du vide juridique qui s’est brutalement ouvert le 6 octobre dernier.
Enfin, c’est assurément une chance pour les éditeurs et prestataires européens, qui vont trouver là un argument complémentaire pour pousser leurs offres de « clouds souverains ». Les données hébergées dans des datacenters situés en Europe bénéficient de facto de la protection européenne (attention toutefois : les datacenters européens des prestataires américains restent soumis à la compétence américaine, et donc aux oreilles indiscrètes, quelle que soit leur localisation géographique).
3. Quid des contrats en vigueur ?
S’agissant des contrats en cours, il faut relativiser les conséquences de l’illicéité dont ils sont indéniablement entachés à ce jour : les négociations portaient souvent non seulement sur l’attestation d’une adhésion au Safe Harbor, mais également sur l’engagement des prestataires américains de se conformer à la législation européenne pour le traitement des données, engagement autonome « renforcé » par la garantie Safe Harbor.
Mais il est certain que les modalités contractuelles de protection des données vont être drastiquement renforcées dans les temps qui viennent, et les négociations afférentes vont encore gagner en âpreté.
Dans l’immédiat, on peut conseiller à l’ensemble des entreprises françaises, inquiètes du sort de leurs données, et de leur responsabilité face à leurs propres clients et personnels, de solliciter le plus rapidement possible, par la voie d’avenants, que leurs prestataires américains se conforment aux « clauses contractuelles types ». Plus nombreux seront les clients européens à faire cette démarche, moins les prestataires américains pourront s’y dérober.
A tout le moins, les clients français devraient interroger leurs cocontractants américains afin de connaître leurs intentions afin de rétablir la conformité légale de leurs services, en soulignant que la CNIL est susceptible d’interdire les transferts si les clients français n’obtiennent pas des garanties de substitution.
L’avantage de la décision de la CJUE est également de faire tomber une hypocrisie collective, celle des prestataires qui prétendent se conformer à une législation, dont leur propre gouvernement les autorise (voire les contraint) à se détourner quand il le souhaite, et celle des clients français qui ne peuvent décemment plus ignorer que, quels que soient les certificats produits par les entreprises américaines, celles-ci n’assurent pas réellement la confidentialité des données.
Au final, les vraies questions sont sans doute plutôt celles-ci : est-il encore possible d’échapper à une surveillance de masse transfrontalière ? Peut-on encore se satisfaire, dans une économie à la fois dématérialisée et internationalisée, de simples « déclarations de principe » ?
En tous cas on doit saluer la CJUE qui a pris la seule décision forte en réaction aux programmes d’écoutes américains, et qui rappelle que les règles juridiques européennes ne peuvent pas être contournées, quels que soient les intérêts et les parts de marché des entreprises américaines.
En réalité, la CJUE affirme avec force que tant que les droits fondamentaux des européens sur leurs données personnelles ne sont pas également garantis aux USA, il ne peut y avoir de liberté de transfert des données aux USA. Et comme les programmes de surveillance globale américains portent atteintes aux droits fondamentaux, il n’est pas possible de garantir leur protection tant que les acteurs économiques européens ne feront pas la preuve d’une véritable étanchéité de leurs services.
Quant à la sécurité juridique des contrats, on peut penser qu’elle est sérieusement remise en question par cet arrêt… mais on doit aussi considérer que les autorités européennes et américaines sont conscientes des réalités économiques, et vont se prononcer sur le sort des contrats en cours dans un sens qui permettra de les maintenir. Les CNIL européennes vont d’ailleurs rapidement se réunir pour apporter leurs premières préconisations (cf. communiqué de presse du Groupe Art. 29).