Le Data Privacy Framework : le nouveau mécanisme de transfert de données personnelles
Le 10 juillet 2023, La Commission européenne a adopté sa décision d’adéquation concernant le cadre de protection des données UE – États-Unis. La décision conclut que les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l’Union européenne – pour les données à caractère personnel transférées de l’UE vers des entreprises américaines au titre du nouveau cadre. Sur la base de la nouvelle décision d’adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers des entreprises américaines participant au cadre, sans qu’il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.
Dans ce article de blog, résumé du podcast Olfeo sur le Data Privacy Framework, en collaboration avec Richard Montbeyre, avocat spécialisé en droit de l’Internet et DPO, nous revenons sur les origines et l’histoire de cet accord et ses versions précédentes, tout en discutant de l’impact juridique et business sur l’utilisation des applications SaaS américaines.
Le Data Privacy Framework est la 3ème tentative pour poser un accord juridique sur la circulation des données personnelles entre les Etats-Unis et l’Europe. Comment en arrive-t-on là ?
Depuis 2000, date de mise en place de la première itération de cet accord, appelé Safe Harbour, l’histoire des transferts entre l’Union européenne et les Etats-Unis, c’est un peu comme un partenariat contrarié qui remonte aux révélations d’Edward Snowden en 2013. En juin 2013, l’Union européenne et le reste du monde se sont rendus compte que les Etats-Unis avaient développé des pratiques de surveillance électronique massives en recourant à des accès à des données européennes, notamment en passant par des prestataires bien connus de services américains.
Depuis ces révélations qui ont bouleversé le monde entier, c’est un mouvement de balancier, en fait, qui alterne entre la volonté de maintenir un partenariat économique, stratégique et commercial entre les États-Unis et l’Europe, et des règles, qui restent peu compatibles entre l’Europe et les États-Unis sur la sécurité nationale, sur les libertés fondamentales et des façons très différentes de procéder.
On a basculé à cinq reprises entre une autorisation de transférer des données vers les États-Unis depuis l’Europe et une quasi interdiction. Si on veut retracer très rapidement le calendrier, effectivement, en 2000, le département du commerce américain et la Commission européenne signent cet accord qui s’appelait à l’époque le Safe Harbor, qui autorisait les transferts, dès lors que les organisations américaines s’inscrivaient sur une liste sur Internet et donc certifiaient qu’elles respecteraient le droit européen, y compris aux États-Unis.
En 2013, affaire Snowden, scandale Prism. Et donc, deux ans après, la Cour de Justice de l’Union européenne, à l’instigation d’un personnage qui est devenu très connu depuis, Maximilian Schrems, à l’époque étudiant en droit autrichien, a lancé une action contre Facebook au motif que Facebook transférait des données vers les États-Unis de manière illicite. Et le Safe Harbor est annulé l’année après en 2016. Compte tenu de cette volonté de maintenir un partenariat stratégique, la Commission européenne et le Département du commerce adoptent en 2016 le Privacy Shield, qui ressemble beaucoup au Safe Harbor. Quatre années passent. Le même Maximilian Schrems revient à la charge devant la Cour de Justice en Juillet 2020. Le Privacy Shield est annulé et donc on se retrouve de nouveau avec une situation où les transferts vers les États-Unis sont nettement plus difficiles à mettre en œuvre.
Et en 2023, les mêmes joueurs jouent encore. La Commission européenne et le département du commerce américain mettent en place un troisième partenariat qui ressemble quand même beaucoup aux deux précédents, qui s’appelle le DPF, le Data Privacy Framework, et qui permet aux sociétés s’inscrivant sur une liste sur un site internet, comme c’était le cas pour le symbole Privacy Shield, de légitimer leur transfert vers les États-Unis.
Donc, en effet, grosse grosse instabilité et flou juridique pour les entreprises qui utilisent des logiciels Saas américains. Quel lien peut-on faire avec l’application du RGPD en Europe ?
Sur les règles applicables au transfert, le RGPD n’a à peu près rien changé. Il a repris les règles qui préexistaient et d’ailleurs les transferts étaient possibles vers les États-Unis, puis interdit, puis possible de nouveau avant le RGPD. En fait, ce qui s’est passé après le RGPD sur les transferts, c’est qu’on a, à nouveau, cherché à confronter des règles de droit européen et des règles de droit américain sur des sujets qui sont au-delà du RGPD. En fait, on parle de l’équilibre entre la protection des libertés, la protection de la vie privée et des pratiques de surveillance étatique et d’accès à des données à des fins de sécurité nationale. Et donc le RGPD, ce qu’il a fait, c’est qu’il a dramatisé la situation parce qu’il a augmenté les sanctions.
C’est le jeu qui se déploie entre des acteurs qui sont maintenant bien connus et donc dans un contexte qu’il est facile de rapprocher du contexte géopolitique. Ce qui a facilité, la conclusion du Data Privacy Framework et ce partenariat renoués entre l’Europe et les États-Unis, c’est clairement le contexte géopolitique et ce qui s’est passé en Ukraine. Les décisions sont aussi politiques, pas uniquement juridiques.
Quels outils sont réellement concernés par cet accord ? Est-ce que ce sont des produits hébergés aux États-Unis? Des produits hébergés en Europe? Des outils à base de technologies américaines mais hébergées en Europe ?
On n’est pas sur une question de localisation des serveurs uniquement. On n’est pas non plus sur une question d’obligation de localiser ces données sur un serveur européen. Finalement, on n’est pas sur une question de nationalité du fournisseur.
A partir du moment où une société ou un individu est soumis au droit américain, soit parce qu’il est résident américain, soit parce qu’il a une filiale aux États-Unis, soit parce qu’il a des opérations aux États-Unis, il devient soumis au droit américain de la même façon que serait soumis au droit européen quelqu’un qui serait en Europe, qui aurait une filiale en Europe ou qui aurait des opérations en Europe. La question à se poser, ce n’est pas uniquement où sont localisés les serveurs, ce n’est pas uniquement est-ce que le fournisseur avec qui je signe le contrat, c’est une société américaine? Dans le fait, il pourrait aussi d’agir d’une filiale française d’une société américaine.
La question qui se pose réellement, c’est de savoir si les données de citoyens, de résidents européens, seront accessibles à distance ou sur place par des personnes qui sont soumises au droit américain. Parce que dès lors que c’est le cas, il y a ce qu’on appelle le Cloud Act notamment, qui rend le droit américain applicable au-delà du territoire américain. Tous les produits et services couverts par cette hypothèse sont concernés.
Pour le cloud par exemple, dès lors qu’il y a un besoin de maintenance, un besoin de mise à jour, un besoin de résolution d’incidents, un besoin de support, assez vite, on voit bien que c’est compliqué de maintenir un hébergement dans le cloud en privant totalement le fournisseur du service principal ou le partenaire qui va s’occuper du support d’un accès aux données.
Donc quand on choisit un service, il faut bien prendre en considération tous les aspects du service, pas uniquement le serveur sur lequel l’environnement va être hébergé, parce qu’autrement on n’est pas complet dans son analyse des risques.
Si aujourd’hui une société voudrait faire appel à une solution qui, avec l’ambition d’avoir une solution 100 % souveraine ou à minima non soumis au Cloud Act. Quelles sont les cases à cocher pour un pour telle solution ?
C’est assez simple en fait, il faut totalement écarter et exclure de la délivrance du service, de la fourniture du service toute société soumise au droit américain. Et donc cela veut dire qu’on rentre dans des schémas où on est sur des solutions, qu’elles soient en cloud ou pas d’ailleurs, qui sont containerisés dans un environnement purement européen où aucune fonction, aucun accessoire ou service n’est pris en charge par un acteur soumis au droit américain.
Ce qui est compliqué dans les faits parce que les Américains ont développé des services et des offres qui sont relativement incontournables, au moins pour certaines activités.
Le 10 juillet, la situation s’est retournée, puisqu’il est de nouveau « autorisé » d’utiliser des solutions Saas américaines
C’est bien un retournement puisqu’on revient un peu à l’état antérieur du droit, on revient un peu au Privacy Shield en quelque sorte. Ce qui ne veut pas dire qu’on peut utiliser sans aucune condition et sans aucune précaution, des solutions, qu’elles soient d’ailleurs américaines ou d’une autre origine. On est dans une situation où on n’est plus face à une interdiction, on est face à une autorisation sous conditions.
Il faut s’assurer que la façon dont le service est fourni ne donne pas accès aux données sans raison à des personnes qui n’auraient pas lieu d’être autorisées. Il faut s’assurer de la conformité générale au RGPD, donc sur l’information des utilisateurs, sur le respect de leurs droits, sur la durée de conservation limitée des données. Tout cela, évidemment, est d’ailleurs décorrélé des transferts, cela doit être fourni et respecté dans le cadre de l’utilisation des services. Après, sans rentrer trop dans le détail, mais ce qui s’est passé le 10 juillet, c’est qu’on a réinstauré cette possibilité de s’inscrire sur une liste type Privacy Shield.
Le RGPD doit s’appliquer qu’il y ait transfert ou pas. Donc il est vrai que cela met les entreprises dans une situation un peu un peu compliquée. J’ai deux exemples qui me viennent à l’esprit. Il y a Meta qui a pris une amende de 1,2 milliard d’euros il y a quelques mois, la plus grosse amende jamais prononcée par les autorités européennes sur la protection des données. Cette amende n’aurait probablement pas lieu d’être aujourd’hui depuis le 10 juillet.
Un autre exemple qui est un peu troublant, c’est concernant l’usage de Google Analytics pour tout ce qui est analyse de la navigation des utilisateurs sur un site web et affichage de publicité ciblée qui repose sur l’utilisation de trackers de cookies. Beaucoup d’entreprises européennes ont cessé d’utiliser Google Analytics parce que les conditions qui permettaient de l’utiliser étaient devenues trop complexes et donc ont basculé vers d’autres outils supposément plus conformes. Aujourd’hui, depuis le 10 juillet, je vois mal ce qui s’oppose à ce que les entreprises utilisent de nouveau Google Analytics dans sa version standard. Donc on voit bien que les entreprises sont dans une situation où elles sont obligées d’assumer une part de risque, qu’elles doivent doser, qu’elles doivent comprendre, qu’elles doivent maîtriser parce que leur activité, elle ne s’est soudainement pas arrêtée à un moment où le Privacy Shield a été annulé et elle ne va pas repartir tout d’un coup de zéro le jour où le Data Privacy Framework a été adopté.
Et donc il faut arriver à naviguer dans cette sorte de tempête réglementaire et garder un certain cap et arriver pour chaque fournisseur qu’on utilise à doser son risque et se dire voilà ce nouveau fournisseur, voilà la confiance que je lui accorde, voilà le niveau de conformité que je lui reconnais. Dans quelle mesure est-ce qu’il fait évoluer mon exposition aux risques vis-à-vis de mes propres clients, vis-à-vis d’une autorité de contrôle, vis à vis de mes organes décisionnaires et de contrôle interne? Et c’est un vrai exercice de dosage. En fait, ce n’est pas un exercice où on est sur du 100 % ou du 0 %. On est toujours dans une zone un peu tourmentée.
Quelle est la probabilité que ce nouveau départ soit également invalidé par Schrems ou quelqu’un d’autre ?
Il faut reconnaître que ce nouveau schéma ressemble beaucoup dans son fonctionnement principal aux deux précédents. Donc il est difficile de s’imaginer qu’il soit complètement à l’abri des mêmes critiques que les précédents et donc qu’il ne puisse pas terminer de la même façon même s’il y a eu des améliorations qui ont été faites.
Ce qui est sûr, c’est que ça montre une chose, c’est que l’Europe et les États-Unis veulent maintenir un partenariat à pleins de niveaux. Et donc que ces annulations répétées, provoquent des vraies inquiétudes et des vrais troubles chez les organisations, chez les entreprises.
De plus, il n’est pas exclu qu’on retombe encore dans la même situation précédente. Et donc, à un moment donné, on peut effectivement se demander s’il n’y a pas une part de folie dans le fait de reprendre les mêmes mesures. Si l’Europe et les États-Unis ont une volonté reconnue par les organisations en charge, donc par les exécutifs et les parlements des deux côtés, d’avancer ensemble, qu’est-ce qui empêche l’Europe et les États-Unis de signer un traité international et de reconnaître, une fois pour toutes, que les transferts peuvent avoir lieu.
Auquel cas ça échapperait à la juridiction de la Cour de Justice de l’Union européenne. Je ne dis pas que c’est ce que souhaitent les organisations de protection des données. Je ne sais pas si c’est ce que tout le monde veut, mais il y a quelque chose d’un peu ridicule à s’échiner, à annuler puis à reprendre. Ce sont ces mesures qui font perdre beaucoup de temps à tout le monde, plutôt que de travailler sur de la conformité réelle et plutôt que de regarder comment on peut vraiment protéger la vie privée des gens. Donc je pense qu’un traité international, ce serait une façon juridique de sortir de cette folie autour des transferts.
Vous travaillez pour une entreprise, vous êtes censé faire l’acquisition de différents logiciels pour faire fonctionner l’activité de votre entreprise. La question qui se pose, c’est est-ce que vous devez faire vos choix en fonction du cadre légal du jour en vigueur entre les États-Unis et la Commission européenne? Ou est-ce qu’il faut essayer de rester indépendant et de faire plutôt fonctionner le bon sens et regarder les contraintes et les arbitrages nécessaires au bon fonctionnement de l’entreprise
C’est un peu tout ça à la fois. Évidemment, je pense que le plus important pour une entreprise, c’est d’avoir les outils, les instruments, les moyens, les ressources qui lui permettent de remplir sa fonction, de déployer son activité et donc la conformité au droit applicable. Elle est incontournable, elle est essentielle et source de risque à défaut et donc elle doit faire partie de la prise de décision. Mais la conformité au droit, c’est une condition. Ce n’est pas la raison pour laquelle on va faire appel à un fournisseur. Il y a des gens qui prennent des décisions en fonction d’un critère unique ou de deux ou trois et le disent clairement. On voit bien que dans cette matière là, il y a beaucoup de critères. Il y en a un qu’on n’a pas mentionné, pourtant on a beaucoup parlé politique, géopolitique, relations internationales. C’est le fait que le Data Privacy Framework, donc le mécanisme qui vient d’être adopté, repose juridiquement sur l’appréciation par la Commission européenne que le décret limitant les pratiques de surveillance américaines, qui a été signé par le président Biden en octobre dernier, est en place et effectif.
Les élections américaines auront lieu dans un peu plus d’un an. On parle bien de ce qu’on pourrait appeler un décret présidentiel, un Executive Order. Et donc on peut sans trop de difficulté, imaginer sans faire de politique fiction, que dans le cas où la majorité présidentielle changerait aux États-Unis dans un an, ce type de décision, dont l’objet est quand même de réduire les pouvoirs des autorités de protection de la sécurité nationale américaine en faveur des Européens, puisse être modifié, voire même annulé ou rétracté.
Et dans ces cas là, de nouveau, ce n’est pas complètement inimaginable que la Commission européenne, quand elle va réévaluer l’effectivité du DPF, se rende compte que finalement le deal n’est pas respecté. Et donc je pense que cela doit inciter à la fois à la prudence et donc à ne pas imaginer que les choses sont réglées une bonne fois pour toutes, parce qu’on a bien vu que ce n’était pas le cas et aussi une certaine forme de sérénité dans le sens où on sait bien que le partenariat Europe – États-Unis va persister. On sait bien que des deux côtés, il y aura des mesures qui seront prises pour pouvoir continuer à travailler ensemble en respectant certaines conditions.