Schrems II : la voie à suivre

A la suite de l'arrêt de la Cour de justice de l'Union européenne (CJUE) dans l'affaire dite « Schrems II », de nombreuses questions ont surgi sur les modalités et la validité du transfert de données hors des frontières. Une analyse approfondie révèle que rien ne change véritablement, sous certaines réserves.

Image placeholder

Plusieurs semaines se sont écoulées depuis que la Cour de justice de l'Union européenne (CJUE) a rendu son arrêt dans l'affaire dite « Schrems II », invalidant le Bouclier de Protection des Données UE-Etats-Unis (« Privacy Shield »). L'heure est donc à la réflexion sur le véritable sens de cet arrêt et sur la voie à suivre. A la suite de l'arrêt, de nombreuses questions ont immédiatement surgi sur les modalités et la validité du transfert de données transfrontalier. Rien ne change véritablement, mais sous certaines réserves. En parallèle, le volume et l'importance des relations commerciales entre les Etats-Unis et l'UE (plus de 700 milliards de dollars) imposent à toutes les parties de trouver des solutions adaptées pour le transfert de données pour le bien commun et la santé de l'économie.  

Les 3 éléments ci-dessous ne sont, pour le moment, pas remis en cause :

  • Le transfert de données vers les Etats-Unis est encore permis. Le Bouclier de Protection des Données a été invalidé en raison de problèmes de protection des données personnelles conformément à la législation américaine, susceptibles de donner lieu à des plaintes de la part de résidents de l'UE. Il est cependant encore possible de transférer des données personnelles vers les Etats-Unis. L'arrêt sur le Bouclier de Protection des Données (« Privacy Shield ») constitue essentiellement une décision d'adéquation : les transferts de données vers les Etats-Unis étaient valides tant que le transfert était confié à une entreprise certifiée par le Bouclier de Protection des Données (« Privacy Shield ») ; en revanche, les clauses contractuelles types (CCT) autorisent le transfert entre entreprises spécifiées, alors que les règles d'entreprises contraignantes (BCR) autorisent le transfert de données intra-groupes. 

  • Une approche au cas par cas prévaut. Puisque les clauses contractuelles types et les règles d'entreprise contraignantes s'appliquent au transfert de certains types de données personnelles entre entreprises ou intra-groupes, leur application doit faire l'objet d'une analyse au cas par cas. Le gouvernement des Etats-Unis a tendance à s'intéresser aux données essentiellement en rapport avec des services au consommateur. D'autres types de données, notamment des données RH, font moins souvent l'objet de demandes de la part du gouvernement, car elles ne sont généralement pas pertinentes. En réalité, de nombreuses entreprises ont été destinataires de données provenant de l'UE pendant des années sans n'avoir jamais reçu de demande de la part du gouvernement à ce propos. De même, il est possible d'évaluer les mesures prises par chaque entreprise pour assurer la protection des données en transit (par exemple le chiffrement de bout en bout) ainsi que l'approche adoptée pour répondre à toute éventuelle demande gouvernementale.

  • Les organismes de contrôle reconnaissent que tous les transferts ne se valent pas. Il ressort des dispositions du Comité européen de la protection des données (CEPD) que les risques seront différents en fonction des types de transferts. Dans son article « questions-réponses » sur l'arrêt Schrems II, le CEPD indique que les entreprises doivent « [tenir] compte des circonstances des transferts, et des mesures supplémentaires [qu'elles pourraient] mettre en place », et déterminer si le niveau de protection est adéquat « après une analyse au cas par cas des circonstances entourant le transfert ». Des éléments tels que le type de données à transférer, les mesures techniques mises en place, les antécédents (ou non) de demandes gouvernementales et les mesures prévues pour répondre à ces demandes sont à prendre en compte dans l'analyse.

De part et d'autre de l'Atlantique, les législateurs doivent collaborer de bonne foi pour définir un cadre législatif satisfaisant pour les 2 parties.

Aller de l'avant

La véritable question est de savoir comment la situation va évoluer. Les Etats-Unis et l'Union européenne se sont engagés à réfléchir ensemble à un nouveau régime de transferts de données. Workday soutient fortement cette démarche : de part et d'autre de l'Atlantique, les législateurs doivent collaborer de bonne foi pour définir un cadre législatif satisfaisant pour les 2 parties. Toute tentative d'exercer quelque pression que ce soit sur l'une des 2 parties ou d'avoir recours à des mécanismes d'application coercitive mènerait inévitablement à un durcissement des positions et à de nouveaux retards.

Il est difficile de prévoir, à ce stade, quelle sera la teneur de l'accord destiné à succéder au Privacy Shield, compte tenu des préoccupations énoncées dans l'arrêt de la CJUE. Le nouvel accord résultera des négociations entreprises entre l'UE et les Etats-Unis. Dans ce contexte, il existe plusieurs mesures qui permettraient de réduire l'écart entre les exigences de la CJUE et les pratiques américaines. Par exemple, la figure de l'Ombudsman (ou médiateur) créée dans le cadre de l'accord du Privacy Shield pour résoudre les litiges relatifs à un accès non nécessaire aux données pourrait être dotée d'une plus grande autonomie, comparable à l'indépendance dont bénéficient les agences gouvernementales aux Etats-Unis. L'Ombudsman serait alors appelé à trancher toute question relative aux droits individuels et rendrait des décisions contraignantes. Les mesures de protection administrative des données pourraient être codifiées. On pourrait également envisager de renforcer les critères et l'application du chiffrement pour toutes les données en transit. Il pourrait être utile de traiter à part certaines catégories de données personnelles (toutes les données ne présentant aucun intérêt pour les gouvernements). Finalement, une combinaison de ces mesures et protections pourrait effectivement ouvrir la voie vers un mécanisme durable de transfert des données entre l'UE et les Etats-Unis. 

Selon McKinsey, les flux de données transfrontaliers représentaient 2 800 milliards de dollars du PIB mondial en 2014 et leur volume n'a fait qu'augmenter depuis. De même, comme le fait remarquer la Commission européenne, les Etats-Unis investissent 3 fois plus dans l'UE qu'en Asie, alors que les investissements de l'UE aux Etats-Unis sont 8 fois supérieurs au total de ses investissements en Inde et en Chine. Dans un monde en pleine accélération digitale, la circulation de données entre pays est indispensable au maintien de relations commerciales privilégiées. C'est pourquoi il est crucial de trouver une solution stable et durable.

En lire plus