Invalidation du Safe Harbor (Schrems c/ Facebook): Recommandations pour la Suisse

image_pdfimage_print

I.  Introduction

Dans une décision datée du 6 octobre 2015, (Décision C-362/14 – Affaire Max Schrems c/ Facebook ou “Schrems I”) la Cour de Justice de l’Union Européenne (CJUE) a invalidé la décision 2000/520/CE qui considérait le “Safe Harbor” comme une base suffisante pour le transfert de données personnelles aux États-Unis. Depuis cette décision, les 4’500 entreprises qui ont transféré des données personnelles vers les USA sur la base du Safe Harbor doivent vérifier que leur politique de protection des données est conforme au droit européen.

Comment en est-on arrivé là, quelles sont les répercutions pour les entreprises et pour les données des individus ? Un début de réponse dans les recommandations du Groupe de l’Article 29 et dans celles du Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT).

II.  Résumé de l’affaire

Maximilian Schrems, un utilisateur de Facebook en Autriche, considère que Facebook ne respecte pas les principes de la protection des données lorsqu’elles sont transférées par Facebook aux Etat-Unis. En effet, ces données peuvent être accessibles par les autorités américaines sans que la personne concernée ne puisse s’y opposer. Comme beaucoup d’entreprises actives dans le domaine de l’informatique, le siège européen de Facebook est situé en Irlande qui sert de pont avec les USA; dans notre cas pour le rapatriement des données personnelles.

Cet utilisateur de Facebook dépose donc une plainte auprès de la Commissaire irlandaise à la protection des données pour interdire à Facebook le transfert de ses données aux USA. La Commissaire refuse d’entrer en matière puisque, selon elle, il découle de la décision 2000/520/CE instituant le Safe Harbor que les Etats-Unis disposent d’une niveau de protection adéquat pour garantir le respect des principes de la protection des données des individus européens.

Après cet échec, Max Schrems porte l’affaire devant la High Court of Justice of Ireland, qui renvoie l’affaire à la CJUE pour lui poser une question à titre préjudiciel. La Cour irlandaise demande alors si les autorités nationales disposent de la compétence de se saisir d’une plainte d’un individu alors que la décision 2000/520/CE garantit déjà, au niveau européen, que les Etats-Unis sont considérés comme un pays sûr concernant la protection des données.

La CJUE répond de manière claire et sans appel que le Safe Harbor ne permet plus, au vu des méthodes de surveillance massives américaines, de garantir aux citoyens européens une protection adéquate de leurs données lorsqu’elles sont transférées aux Etats-Unis. Elle donne donc raison à M. Schrems et juge que la décision 2000/520/CE est invalidée.

Il appartiendra dès lors à la Commissaire irlandaise à la protection des données d’examiner, dans le cas concret, si les mesures de sécurité mises en place par Facebook sont suffisantes pour garantir un niveau de protection adéquat des données des utilisateurs.

III.  Conséquences en Europe

Suites de l’affaire Snowden

Cette décision de la CJUE est une conséquence directe des révélations de l’Affaire Snowden sur les programmes de surveillance PRISM/US-984XN et  XKeyscore. Sans ces révélations, il est probable que la CJUE ne soit jamais parvenue à décréter que cet accord cadre n’était plus suffisant. Les quelques 4’500 entreprises qui se sont basées sur le Safe Harbor pour transférer leurs données aux USA sont placées dans un flou juridique.

Depuis le 6 octobre 2015, tout transfert de données aux Etats-Unis par des entreprises ayant basé ce transfert sur le Safe Harbor est illégal. Actuellement, les entreprises peuvent poursuivre le transfert des données aux Etats-Unis si :

  • des conventions intra-groupe intégrant des “clauses contractuelles types” reconnues par l’Union européenne sont mises en places
  • en ‘intégrant de “Binding Corporate Rules” (BCR), dont les lignes directrices peuvent être consultées ici
  • lorsque les conditions pour déroger aux conditions légales sont réunies (consentement préalable explicite de l’utilisateur, transfert des données en respect d’une obligation contractuelle, etc.).
  • Il existe également des modèles de conventions pour le transfert de données garantissant le respect des principes légaux (“Transborder Data Flow Agreement”).

Réactions au niveau européen

Après l’arrêt Schrems c. Facebook, les autorités européennes de protection des données n’ont pas tardé à réagir. Dans un communiqué du 16 octobre 2015, le Groupe de travail de l’Article 29 (le G29 est institué par l’article 29 de la directive européenne sur la protection des données personnelles – Directive 95/46/CE) a émis des recommandations dans lesquelles il impartit un délai de 3 mois aux institutions européennes et aux gouvernements pour renégocier un Safe Harbor compatible avec les principes européens de la protection des données. Les autorités nationales, dont notamment la CNIL, sont prêtes à se coordonner pour entreprendre des actions répressives concertées (par exemple exiger la suspension de tout transfert de données aux Etats-Unis) si un accord n’est pas trouvé d’ici au 31 janvier 2016 !

IV.  Recommandations du Préposé en Suisse

Recommandations aux entreprises

Comme on peut le lire dans sa dernière communication datée du 22 octobre 2015, le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) se calque sur la décision européenne et considère que l’équivalent suisse du Safe Harbor européen (le US-Swiss Safe Harbor Framework) n’est plus une base légale suffisante tant que la Suisse n’aura pas renégocié un accord suffisant avec les Etats-Unis.

A la différence de l’Europe, la Suisse n’a pas dénoncé le Safe Harbor alors que la situation est connue depuis longtemps, aucune décision judiciaire n’a été rendue et l’analyse du PFPDT n’est parue que via son site web, relève Me Sylvain Métille sur son blog. Selon le Préposé Fédéral suppléant à la protection des données, M. Jean-Philippe Walter, “La Suisse est liée par la décision d’adéquation et ne peut faire cavalier seul au risque que l’UE revoie sa décision“. De plus, il revient au Conseil Fédéral de dénoncer, cas échéant, le Safe Harbor et non au Préposé. Tout en rappelant qu’il ne s’agit que de  recommandations, le Préposé suppléant précise que cette prise de position s’adresse aux entreprises qui devraient suivre les recommandations du Préposé, soit :

  • Informer de manière claire et aussi exhaustive que possible les personnes dont les données sont transmises aux États-Unis des accès possibles des autorités, afin de leur permettre d’exercer leurs droits. Le contrat d’échange de données personnelles devrait prévoir un engagement des parties contractantes dans ce sens
  • Prévoir un engagement des Parties à mettre à la disposition des personnes concernées les outils nécessaires à une protection juridique efficace conformément à l’article 6, al. 2, let. a, LPD, à exécuter réellement les procédures correspondantes et à accepter les décisions qui en résultent.

Qu’en est-il des individus ?

En Europe, tout dépendra des résultats de l’enquête menée par la Commissaire irlandaise. Si elle constate que Facebook ne garantit pas une sécurité suffisante aux utilisateurs pour le transfert de leurs données aux USA, tout détenteur européen d’un compte pourrait requérir de Facebook l’interdiction du transfert de ses données. Une situation bien improbable. En effet, dans une telle hypothèse Facebook s’empressera de modifier ses conditions générales, informera les utilisateurs d’une potentielle atteinte à leurs droits par les autorités américaines et recueillera, le cas échéant, leur consentement pour continuer à utiliser la plateforme sociale.

En Suisse, tout individu qui se considère qu’une entreprise viole les règles de la protection des données à son égard peut s’adresser aux tribunaux civils pour faire constater, cesser ou interdire toute atteinte. Les mesures repressives qui existent en Europe n’ont pas d’équivalent en Suisse et le PFPDT ne peut qu’émettre des recommandations, sans possibilité d’agir directement. Il ne peut qu’inciter les entreprises à respecter les principes de la LPD ou les utilisateurs à agir par la voie civile.

VI.  Conclusion

Même si les entreprises suivent les recommandations émises en Europe ou en Suisse, le droit américain, notamment le FISA Act, ne sera pas pour autant modifié et on connait les difficultés concrètes permettant de changer la législation américaine tant du point de vue politique que juridique. Seuls les gouvernements pourraient avoir de l’influence dans le cadre de la mise en place du Safe Harbor 2.0 dont nous devrions avoir des nouvelles d’ici au 31 janvier 2016. Il appartiendra aux entreprises américaines de faire l’effort ou non d’améliorer les conditions de sécurité des données dans leur convention intra-groupe ou, pourquoi pas, de créer leur data center en Europe, tant on sait que le Big Data est devenu aujourd’hui le pétrole du XXIe siècle.

Il s’agit tout de même d’une victoire de principe pour les défenseurs de la vie privée sur Internet, notamment par le biais de la protection des données personnelles. Aujourd’hui, les Etats-Unis ne sont plus considérés, par l’Europe, comme un pays sûr en matière de protection des données, ce qui concrétise les révélations d’Edward Snowden du 9 juin 2013.

L’arrêt Schrems c. Facebook consacre le principe de la compétence des autorités de protection des données pour examiner une plainte d’un individu qui prétend qu’une entreprise viole la loi sur la protection des données (Voir § 47 à  57 de la décision C-362/14). Cet arrêt continuera à s’appliquer même avec un Safe Harbor 2.0 considérant à nouveau les Etats-Unis comme un pays sûr. Dans chaque cas, les citoyens européens pourront demander aux autorités de vérifier si l’entreprise respecte les principes de protections des données ou non.

Un petit pas pour l’individu et la protection des données personnelles en Europe, un tout petit pas pour la Suisse, dont les autorités de protections des données ne disposent d’aucun moyen répressif, et qui suit son homologue européen.