La décision de la Cour de Justice de l’Union Européenne (CJUE) du 6 octobre 2015[1] invalide la certification « Safe Harbor » qui présidait, depuis 2000, au transfert des données personnelles des ressortissants de l’Union Européenne vers les Etats-Unis. Ce système d’auto-certification, présumé être un « label de confiance », faisait néanmoins déjà l’objet d’un certain nombre de réserves de la part des tenants de la protection des données personnelles en Europe, critiques devenues encore plus virulentes depuis la révélation par le lanceur d’alerte Edward Snowden des pratiques d’interception et d’espionnage à grande échelle de la National Security Agency (NSA).

L’arrêt du 6 octobre 2015 est d’ailleurs la résultante d’une action judiciaire introduite par un Internaute autrichien, Maximillian Schrems, utilisateur de Facebook qui a déposé plainte auprès de l’autorité irlandaise de protection des données puis introduit un recours devant la High Court irlandaise à l’encontre de la filiale irlandaise de Facebook à laquelle était confiée le transfert des données personnelles des utilisateurs européens de Facebook hors de l’Union Européenne.

Par sa décision du 6 octobre 2015, la CJUE considère que le système d’auto-certification du Safe Harbor n’est plus valide au regard des standards européens de transfert des données personnelles prescrits par la directive 95/46/CE du 24 octobre 1995 (« la Directive »). En conséquence, cette décision renverse la présomption simple de « niveau de protection adéquat » inférée jusque-là par l’adhésion au Safe Harbor.

Ce faisant, elle laisse un vide juridique considérable et préjudiciable aux accords actuellement en vigueur entre les ressortissants européens (personnes physiques ou morales) et les prestataires américains : hébergeurs ou acteurs du cloud, domestiques (tels Google ou Facebook) ou professionnels (IBM, Microsoft, Oracle…).

Faut-il dès lors considérer que, depuis le 6 octobre 2015, les transferts de données personnelles vers les entreprises américaines sont tous illégaux ?

Par son communiqué du 16 octobre dernier, le groupe de travail G29[2], s’étant réuni en urgence suite à la décision du 6 octobre, a fait savoir qu’il accordait un délai de grâce de 3 mois à la Commission européenne et aux Etats-Unis pour trouver un accord intergouvernemental satisfaisant se substituant au Safe Harbor et permettant de remédier aux insuffisances de protection constatées.

A défaut d’accord intergouvernemental trouvé au plus tard fin janvier 2016, les autorités nationales de protection des données personnelles en Europe se réserveront le droit de poursuivre les entreprises se livrant à des transferts de données personnelles illégaux, et qui n’auraient pas mis en place des mesures contractuelles palliant l’absence d’un accord intergouvernemental.

Sans attendre la conclusion d’un nouveau « Safe Harbor 2 » dont la négociation promet d’être difficile au vu des résistances de l’Administration américaine et qui, de par sa nature d’accord diplomatique, sera nécessairement moins protecteur des données personnelles que ne le souhaiteraient les instances européennes, les entreprises européennes disposent d’une occasion unique pour tenter de renégocier, de gré à gré, avec les prestataires américains, hébergeant et/ou collectant leurs données personnelles, des clauses contractuelles s’approchant des standards européens de protection des données personnelles.

  • Pourquoi est-il important pour les entreprises européennes de tenter de renégocier ?

La sécurité des données au plan juridique n’était, jusque-là,  pas au centre des préoccupations des entreprises confiant le stockage des données personnelles de leurs employés, prospects ou clients à des data centers. C’est la sécurité technique qui est normalement centrale pour eux. Les entreprises se désintéressaient aussi de l’aspect juridique du transfert des données car le « label de confiance » du Safe Harbor était en place. Or, l’invalidation du Safe Harbor vient rappeler à tous qu’au plan juridique, la sécurité des données (à savoir leur disponibilité, intégrité et confidentialité) est au moins aussi centrale.

Il est désormais avéré que le Safe Harbor n’est en rien un rempart contre « la surveillance massive et indiscriminée »[3] des données personnelles, y compris des ressortissants européens, par la NSA laquelle est autorisée à le faire par les dispositifs législatifs que sont l’US Patriot Act et la FISA[4] (entrés en vigueur postérieurement au Safe Harbor).

Pour rappel, ces textes (l’un consacré à la lutte contre le terrorisme et l’autre à la collecte, plus massive encore, des informations relevant du renseignement extérieur) imposent aux entreprises de droit américain ainsi qu’à leurs filiales dans le monde et aux serveurs hébergés sur le territoire des Etats-Unis – quelle que soit la nationalité des entreprises qui les exploitent – de donner aux services de sécurité américains l’accès aux données personnelles qu’ils hébergent ou qu’ils traitent, et ce même si ces données concernent des non-américains ; les intéressés étant, de surcroît, dans l’incapacité d’évaluer l’usage concret qui est fait de leurs données personnelles.

Autrement dit et en pratique, lorsqu’une entreprise française a recours, pour l’hébergement des données personnelles de ses employés, prospects ou clients par exemple,  au data center d’une entreprise américaine ou de sa filiale en Europe ou à une société européenne d’hébergement qui utilise un serveur aux Etats-Unis, rien ne peut s’opposer à l’accès total par les services de l’administration américaine des données personnelles hébergées.

En conséquence et depuis le 6 octobre 2015, une entreprise française, ayant le statut de responsable de traitement (en ce qu’elle a défini une politique de collecte et de traitement des données personnelles de ses employés, prospects ou clients par exemple), contrevient aux règles européennes de protection des données personnelles[5] et engage directement sa responsabilité à l’égard des personnes physiques concernées et de la CNIL, si elle a recours à un prestataire de service soumis à la loi américaine.

Pour mémoire, en cas de flux transfrontalier de données non autorisé, en raison du fait que le pays destinataire ne présente pas le « niveau de protection adéquat » (ce qui est le cas des Etats-Unis depuis le 6 octobre 2015), les clients responsables de traitement au sens de la loi, risquent 5 ans d’emprisonnement et 300.000 euros d’amende[6] (amende qui peut être portée à 1.500.000 euros si la personne morale est reconnue pénalement responsable – article 226-24 du Code pénal). Même si de telles sanctions ne sont pas susceptibles d’être prononcées avant le 31 janvier 2016, elles sont suffisamment dissuasives pour faire prendre conscience aux entreprises européennes de l’enjeu.

Il existe donc désormais une incompatibilité majeure entre l’obligation pour le responsable de traitement (toute entreprise européenne ayant confié un traitement à un fournisseur américain SaaS ou à une de ses filiales américaines) de se conformer à la législation européenne et l’obligation, pour ce fournisseur, de respecter ses propres obligations légales en vertu de l’US Patriot Act et/ou la FISA. 

L’un ou l’autre des partenaires contractuels est nécessairement en infraction aux règles qui s’imposent à lui.

  • Pourquoi est-ce le moment de (re)négocier ?

Le Safe Harbor, en établissant un climat de confiance, a permis l’essor et le déploiement du cloud en Europe, via les prestataires américains du cloud computing dont l’avancée technologique en terme de collecte, stockage et traitement applicatif des données est incontestable.

Ainsi, depuis une quinzaine d’années, 4000 entreprises américaines se sont vu confier la collecte et le traitement des données personnelles de ressortissants français.

Le marché des « data centers » et du « cloud computing » en général est, pour l’économie mondiale et les prestataires qui opèrent dans ce secteur, déjà colossal, sans compter qu’il est encore loin d’être mature.  

Or, l’invalidation du Safe Harbor en ce qu’elle entraîne une prise de conscience des clients européens et français sur les risques, notamment financiers et en termes d’image, d’être en infraction avec les règles européennes, porte un sérieux coup de frein aux accords IT conclus entre les entreprises européennes et les prestataires américains et leurs filiales en Europe.

Ce qui profite, à l’inverse, aux acteurs du cloud européens (« clouds souverains ») lesquels présentent de facto (à condition d’être des sociétés de droit européen et de ne pas utiliser de serveurs aux Etats-Unis) les garanties de conformité aux standards européens, mettant de fait à l’abri leurs clients (responsables de traitement) d’éventuelles poursuites.

L’invalidation du Safe Harbor confère donc un avantage concurrentiel considérable aux prestataires IT européens,  avec à la clef, le bouleversement du marché de l’hébergement des données en faveur des prestataires localisés dans l’Union et de droit européen.

Les ambitions des acteurs européens du cloud sécurisé (avec en tête de liste en France : SFR, Orange, Atos, Capgemini, Dassault et Thalès)  ont été dopées par la décision de la CJUE, certains d’entre eux n’hésitant plus à communiquer sur le fait que leurs prestations prémunissent les clients contre les effets « extraterritoriaux » de la FISA et de l’US Patriot Act.

Et il s’agit également pour les clients européens d’une opportunité unique de renégocier avec leurs prestataires américains les contrats d’adhésion conclus il y a quelques années.

Dans la mesure où la garantie contractuelle de conformité « Safe Harbor » n’en est plus une depuis le 6 octobre 2015, les clients pourraient invoquer, sous réserve de ce que prévoit le contrat, ce « breach of warranty» pour dénoncer, sans indemnité, les contrats en cours ;  ce qui pourrait, à grande échelle, mettre en péril l’implantation des géants américains – y compris via leurs filiales de droit américain – sur le territoire européen.

En effet, le risque de rapatriement des données personnelles sur des acteurs européens du clouding    ou sur des acteurs, comme Microsoft se targuant d’être à ce jour le seul fournisseur de services cloud  adoubé par le G29,  est réel[7].

Il s’agit donc là d’une occasion unique pour utiliser ce levier de négociation et chercher à obtenir des clauses contractuelles plus en phase avec les standards européens, en pariant sur le fait que le futur accord intergouvernemental – fruit de compromissions diplomatiques tenant compte des impératifs d’un marché mondialisé – ne sera jamais aussi protecteur des intérêts des ressortissants européens que la Directive elle-même.

  • Que faut-il chercher à (re)négocier ?

Outre une autorisation expresse de l’autorité nationale de protection des données (CNIL en France), deux types de clauses peuvent, partiellement, pallier le vide juridique qu’a entraîné l’invalidation du Safe Harbor.

  • ou les règles contraignantes d’entreprise ou « BCR » (Binding Corporate Rules) qui autorisent les flux de données de filiale à filiale, hors de l’Union européenne dans le cadre d’un marché B to C. Néanmoins, les BCR sont des règles « intragroupes » et qui ne peuvent, sauf acceptation expresse, être opposables aux prestataires externes.

Dans son communiqué du 16 octobre, le G29 souligne que les « BCR » et les « clauses contractuelles types » sont actuellement en cours d’examen pour vérifier si elles suffisent à garantir le niveau de protection adéquat requis par l’Union Européenne s’agissant du transfert des données hors UE. Pour autant, le G29 confirme que, durant les trois mois de délais de grâce devant servir à la conclusion d’un nouvel accord intergouvernemental, ces outils contractuels peuvent et même doivent être utilisés par les partenaires contractuels ; même si les autorités nationales pour la protection des données se réservent néanmoins – comme les y a d’ailleurs fortement encouragés la CJUE dans sa décision du 6 octobre – la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.  

Dans l’idéal et pour toute (re)négociation, de gré à gré, avec un prestataire américain ou sa filiale européenne, les clients français et européens devraient exiger notamment, s’agissant du transfert des données, les conditions et garanties suivantes : lieu d’hébergement des données au sein de l’Union européenne, la présence exclusive dans la chaîne des prestataires cloud de sociétés de droit européens non soumises à la législation américaine et l’assurance que ces sociétés sont tenues de respecter à l’égard de leurs donneurs d’ordre respectifs les mêmes obligations que celles contenues dans le contrat principal, le respect des clauses contractuelles types du G29,  l’insertion d’une clause résolutoire de plein droit dans l’hypothèse où la transmission de données personnelles aux autorités américaines ou aux tiers non approuvés préalablement, de manière expresse, serait démontrée ou plus généralement en cas de violation ou de méconnaissance de la Directive ou de la loi « Informatique et libertés » etc, ….

 

L’onde de choc provoquée par l’invalidation du Safe Harbor aboutira certainement, à terme, au niveau politique, à un accord intergouvernemental plus protecteur des impératifs de protection des données des ressortissants européens que ne l’était le Safe Harbor. Néanmoins, la protection du transfert des données sera probablement encore mieux assurée dans la renégociation, de gré à gré, des contrats avec les prestataires américains lesquels ne peuvent toutefois se soustraire à l’application de leurs propres lois d’ordre public. Plus les entreprises européennes, et notamment françaises, entameront des discussions en ce sens auprès des entreprises américaines, et plus leurs revendications trouveront écho auprès de ces dernières qui s’exposent, en cas de refus, à un report systématique de leurs clients sur les offres de leurs concurrents européens.

Peut-être finalement que même avant l’entrée en vigueur du Safe Harbor 2, l’invalidation du Safe Harbor aura, en pratique et compte tenu des enjeux commerciaux en cause, contribué, dans les contrats avec les entreprises américaines,  à niveler « par le haut » les clauses sur le transfert des données personnelles en les calquant sur les standards européens … (il faut néanmoins raison garder à l’esprit que les entreprises de droit américain resteront, quoi qu’il advienne, soumises aux règles impérieuses de l’ordre public américain).

Pour l’instant en tout cas, la décision du 6 octobre 2015 ne semble pas émouvoir plus que de raison les géants américains de l’Internet dont certains continuent de revendiquer et mettre en avant leur adhésion au Safe Harbor devenu pourtant caduc…

Reste encore à attendre les conclusions de l’autorité irlandaise de protection des données irlandaises dont le Data Protection Commissionner a confirmé, ce 20 octobre, qu’elle se saisirait de la plainte déposée par Max Schrems contre Facebook. Nul doute que cette décision sera intéressante pour tirer les enseignements de l’évaluation par l’homologue irlandais de la CNIL du système mis en place par Facebook pour la protection et transfert des données personnelles hors Union Européenne, sans  le filtre complaisant du Safe Harbor.

L’enjeu n’est pas anodin : il s’agit tout simplement de l’interdiction du transfert des données des utilisateurs européens de Facebook vers les Etats-Unis.

 

Par Sarah Temple-Boyer

 


[1] CJUE 6 octobre 2015, Thierry Maximilliam Scherms c/ Data Protection Commissionner, C-362/14

[2] Groupe de travail constitué des 29 autorités nationales de protection des données personnelles des Etats membres de l’Union européenne.

[3] Dixit le groupe G 29 dans son communiqué du 16 octobre dernier

[4] Foreign Intelligence Surveillance Act

[5] La Directive 95/46 CE du Parlement Européen et du Conseil du 24 octobre 1995 rappelle les principes selon lesquels les systèmes de traitement de données sont au service de l’Homme et qu’ils doivent – quelle que soit la nationalité ou la résidence des personnes physiques – respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée.

[6] Article 226-22-1 du Code pénal : « Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l’article 70 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende »

[7] Extrait des conditions contractuelles Microsoft: “Our approach to privacy and data protection in our cloud services is built on a commitment to empower organizations to control the collection, use, and distribution of their information. By providing this functionality and implementing strong operational protection practices, Microsoft can make compliance commitments to our customers in the form of certifications, attestations, and contractual agreements. Microsoft was one of the first organizations to sign European Model Clauses, documenting our commitments to protect the data of our customers who do business in E.U. countries. Commitments to the E.U. Model Clauses, along with standards like the Generally Accepted Privacy Practices (GAPP) and the Fair Information Practice Principles (FIPPs) guided the creation of Microsoft’s own privacy principles used to manage customer and partner information.

 

EU Model Clauses. The European Union’s 28 data protection authorities, acting through their “Article 29 Working Party,” have determined that the contractual privacy protections Microsoft offers to its enterprise cloud customers meet the current existing EU standards for international transfers of data. Microsoft is the first and only cloud provider to receive this type of approval. Europe’s privacy regulators have said, in effect, that personal data stored in Microsoft’s enterprise cloud is subject to Europe’s rigorous privacy standards no matter where that data is located. This recognition applies to Microsoft’s enterprise cloud services – in particular, Microsoft Azure, Office 365, Microsoft Dynamics CRM and Microsoft Intune”