Le problème
Nos institutions européennes, dans leur tour d’ivoire, ont décidé en 1995 que les données personnelles ne pouvaient être transférées en dehors de l’Union européenne, vers des pays « n’offrant pas un niveau de protection adéquat ». Précisons que par « transfert », il faut entendre un simple accès logique aux données stockées en Europe depuis un territoire en dehors de l’Europe.
Malheureusement, il se trouve que dans la vraie vie, les Etats-Unis ne sont pas, au regard de nos standards européens, un pays « offrant un niveau de protection adéquat ».
Double malheur, dans la dernière décennie, le cloud computing, les réseaux sociaux, les plateformes en lignes se sont démultipliés, entrainant un flot transatlantique continu de données personnelles.
Triple malheur, les sociétés américaines règnent en maître sur ces services.
Que faire ? Le principe de réalité se rappelle à nous et il faut bien transférer ces données personnelles vers les Etats-Unis puisque cloud computing et autres services en ligne nous y obligent.
Les mauvaises solutions
Pour contourner l’obstacle sans se déjuger, la Commission européenne inventa d’abord le « Safe Harbour ». Celui-ci fut invalidé par la Cour de justice de l’Union Européenne (CJUE) le 6 octobre 2015 au motif que le « Safe Harbour » ne garantissait pas que les États-Unis d’Amérique assurent effectivement un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux.
Le « Safe Harbour » ne tarda pas à être remplacé par son cousin, le « Privacy Shield », en juillet 2016. Même punition, vient de décider la CJUE dans son arrêt du 16 juillet 2020.
La CJUE considère que la réglementation des États-Unis qui permet l’accès et l’utilisation par les autorités publiques américaines des données transférées depuis l’Union européenne n’est pas suffisamment encadrée et limitée pour répondre aux exigences du droit de l’Union européenne en matière de protection des données personnelles. La CJUE déclare donc que la décision de la Commission Européenne qui avait instauré le « Privacy Shield » est invalide.
Et maintenant ?
Que reste-t-il pour transférer des données personnelles aux Etats-Unis ?
Le mécanisme ancien des « clauses contractuelles types » qui a résisté à la vague sanctionnatrice de la CJUE. La résistance de ce mécanisme est en réalité bien étonnante selon les critères mêmes de la CJUE.
La CJUE nous explique que les clauses contractuelles types obligent l’importateur de données à informer l’exportateur des données de son éventuelle incapacité à se conformer aux clauses types de protection, à charge alors pour l’exportateur de suspendre le transfert des données.
Mais dans le même temps, la CJUE décide que la législation américaine ne permet pas d’assurer une protection substantiellement équivalente à celle du droit européen. Dès lors, l’ensemble des importateurs de données vers les Etats-Unis, au moment où ils signent les clauses contractuelles types, doivent informer l’exportateur qu’ils ne pourront les respecter, ce qui doit conduire l’exportateur à arrêter le transfert vers les Etats-Unis !
Au final, il y aujourd’hui le droit : il n’est plus possible de transférer des données personnelles vers les Etats-Unis, et la vraie vie…
Les entreprises ne peuvent se satisfaire de ce dialogue infernal entre les institutions européennes : des règlements qui sont adoptés avec des niveaux d’exigences élevés faisant fi des réalités techniques du moment, des arrêts qui sanctionnent ces mêmes règlements 4 années après leur entrée en vigueur et des institutions européennes qui, dans le même temps, n’arrivent pas à faire émerger sur le marché européen des services qui puissent rivaliser avec ceux des GAFAM, protégeant même parfois ces derniers... Or, toute réglementation n’a de sens que si elle réussit à influer le réel, pas si elle est faite et défaite sans lien avec celui-ci.
Le droit des données personnelles est en passe de devenir aussi virtuel que les données informatiques qu’il prétend réguler.
Chronique d'Etienne Papin est avocat associé chez Next Avocats.