Données personnelles : l’orage gronde

Première partie : les transferts internationaux de données personnelles

L’autrichien Max Schrems n’est encore qu’un étudiant en droit lorsque débute son long combat pour obtenir de l’entreprise Facebook qu’elle applique correctement la législation européenne en matière de protection des données personnelles. Alerté par les révélations d’Edward Snowden sur les pratiques de surveillance de la NSA, il va notamment contester en 2013 la possibilité pour le réseau social d’exporter des données vers les États-Unis.

En 2015, il obtient une victoire au retentissement mondial devant la Cour de justice de l’Union européenne (CJUE). Les États-Unis étaient jusqu’alors considérés comme un pays présentant un « niveau de protection des données adéquat » à chaque fois que l’entité américaine importatrice d’informations s’était pliée aux exigences d’un programme du Département du commerce américain appelé le « Safe Harbour ». La CJUE estime que la Commission a sous-estimé les risques que la législation antiterroriste américaine fait courir aux données des européens. Elle annule la « décision d’adéquation », remettant en cause la possibilité pour des milliers d’entreprises d’envoyer des informations personnelles outre-Atlantique.

Toutefois, les USA mettent sur pied un remplaçant au Safe Harbour, le « Privacy Shield », supposé garantir de manière plus efficace les droits des citoyens de l’Union. Max Shrems, qui a entre-temps fondé la très active association None of Your Business (NOYB) forme un nouveau recours. La CJUE se prononce à l’été 2020, dans un arrêt « Schrems 2 ». Elle constate que le Foreign Intelligence Service Act et l’Executive Order 12333 n’encadrent pas de manière suffisamment étroite les programmes de surveillance américains (§184), et annule une nouvelle fois la décision d’adéquation de la Commission.

En Suisse, le Préposé fédéral à la protection des données et à la transparence procède en septembre 2020 à son examen annuel de l’accord Swiss – US Privacy Shield et estime à son tour que le « bouclier » n’offre pas une protection adéquate. Il rappelle toutefois que « il n’existe en Suisse aucune jurisprudence comparable à celle de l’arrêt précité de la CJUE. Les tribunaux suisses, en se fondant sur l’art. 6 de la LPD suisse, pourraient arriver aux mêmes conclusions concernant l’accès aux données par les autorités américaines que la CJUE en application du RGPD, mais cette question reste à ce jour ouverte ».

L’Europe, en revanche, bascule dans l’inconnu. Certes, le Règlement général sur la protection des données prévoit qu’en l’absence de décisions d’adéquation, les transferts vers un pays tiers sont néanmoins possibles sur la base de « garanties appropriées » (article 46). En particulier, il reste théoriquement possible de recourir aux « clauses contractuelles types de la Commission européenne » (CCT), un ensemble de stipulations qu’il faut insérer dans une convention conclue entre l’entité européenne exportatrice de données et l’entité étrangère importatrice. Mais que peut faire un simple « RGPD miniature » de nature purement contractuelle, placé bien bas dans la hiérarchie des normes, contre une législation antiterroriste trop puissante ? « Rien », est-on tenté de répondre. La CJUE explique plus sobrement que c’est au duo exportateur-importateur de données qu’il convient d’étudier, ensemble, si la protection conférée aux données par l’instrument contractuel est suffisante (§141). Un tel audit global des législations en cause apparaît hors de portée de beaucoup de responsables de traitement, supposés réussir là où les puissants services de la Commission européenne ont échoué. Si la protection apportée par les CCT apparaît trop faible, il leur faudra alors recourir à « mesures supplémentaires » dont on peine à apercevoir la nature et, si cela n’est toujours pas suffisant, il sera obligatoire de suspendre le traitement (§113).

Il faut bien comprendre que les transferts de l’UE vers les USA ne sont pas les seuls menacés, au terme de ce raisonnement. L’arrêt rappelle une nouvelle fois que les décisions d’adéquation de la Commission sont susceptibles d’être annulées par le juge européen : il pourrait en aller ainsi, demain, pour l’Argentine, la Nouvelle-Zélande ou le Japon. Mais l’essentiel des pays tiers n’a bénéficié à aucun moment d’une décision d’adéquation. Pour eux, l’essentiel des transferts a lieu sur la base de CCT, qui ressortent incroyablement fragilisées de la décision Schrems 2. C’est donc la capacité de l’Europe (et peut-être de la Suisse) à faire circuler des données personnelles à l’échelle mondiale qui est potentiellement compromise. Or, de nombreux flux internationaux économiques, sociaux et culturels requièrent la circulation d’informations personnelles.

Cette situation en apparence ubuesque est en réalité logique. La CJUE est suffisamment indépendante pour obliger l’Union à tirer toutes les conséquences des règles de protection des données dont elle s’est dotée. Des dossiers dans lesquels la Commission européenne adopte une attitude teintée de réalisme politique, de volonté de préserver les intérêts économiques des États-membres et de diplomatie sont approchés par le juge européen sous le seul angle du droit. Il est vrai qu’il y avait peu de sens à fixer un niveau élevé de protection des données dans l’ordre interne, si la vie privée des européens pouvait ensuite être compromise sitôt franchies les frontières de l’Union : de là viennent les règles sévères encadrant les exports. Mais surgit alors une réalité crue : tous les pays du monde n’entendent pas suivre le modèle européen de protection des données, ni même veiller suffisamment au respect des informations des européens. La suite du dossier apparaît alors au moins aussi politique que juridique. Des négociations difficiles s’annoncent, avec les USA et bien d’autres.

En attendant, l’heure va bientôt sonner pour les autorités de protection des données d’ordonner les premiers arrêts de transferts transatlantiques, dans le dossier Facebook et ailleurs. Si elles reculent, elles risquent leur crédibilité. Si elles agissent, le grand public découvrira, médusé, un dossier dont il semble n’avoir pour l’heure aucun écho. L’orage gronde, et la foudre pourrait bientôt tomber.