Tribunes

Quelle régulation internationale sur les données du Net ?

Etienne Papin, avocat associé au cabinet Feral-Schuhl / Sainte-Marie, fait le point sur l'évolution de la réglementation.

Le Safe Harbor est mort. Vive le Privacy Shield ! L'évolution sémantique est associée à de véritables différences juridiques, notamment sur le caractère réellement contraignant des précautions à prendre par les entreprises.

PublicitéEn matière de droit des données personnelles, tout est par terre et tout est à reconstruire.

Songez que notre législation en la matière remonte dans ses fondements à... 1978. Un toilettage important est advenu par la loi du 6 août 2004 mais pour intégrer une directive européenne de 1995, qui n'a pas bouleversé les principes du texte de 1978.

Il est aujourd'hui inconcevable d'imaginer un monde dans lequel les informations personnelles, lorsqu'elles existent sous forme de données informatiques, restent cantonnées dans les limites de l'Etat dans lequel elles ont été collectées, sous la pleine maîtrise de l'individu concerné.

En 1978, c'était l'inverse qui était incongru. En 1995, le législateur européen a bien tenu compte de la possibilité de transférer des données hors de l'Union Européenne mais uniquement vers des pays qui offrent le même niveau de protection que l'Europe.

Rappelez-vous 1995. C'est l'année où l'on ouvre le premier cybercafé à Paris. Autant dire que nos textes régissant le droit des données personnelles sont tout sauf adaptés au monde de l'internet et des smartphones tel que nous le connaissons aujourd'hui.

Il a bien fallu s'adapter à la réalité et convenir que des données personnelles devaient transiter vers les Etats-Unis, alors même que ce pays n'est pas un pays offrant « un niveau de protection adéquat » au regard du droit européen. Le mécanisme dit du « Safe Harbor » a alors été conclu en juillet 2000 entre la Commission européenne et le Département du Commerce américain (DoC). Pour faire simple, le Safe Harbor était un dispositif par lequel une société américaine s'engageait à traiter les données personnelles des Européens en conformité avec les standards de protection existant en Europe.

Par une décision du 6 octobre 2015, la Cour de Justice de l'Union Européenne (CJUE) a invalidé le régime juridique dit du « Safe Harbor ». Nous ne reviendrons pas sur les motifs de cette invalidation (voire notre chronique du 9 octobre 2015).

L'invalidation du « Safe Harbor » est une belle illustration de la force de la réalité à l'encontre de l'effectivité de la règle. En effet, si du jour au lendemain le mécanisme du « Safe Harbor » s'est retrouvé illégal, les transferts de données entre l'Europe et les Etats-Unis ne se sont pas arrêtés pour autant.

L'invalidation du Safe Harbor ayant surpris tout le monde, la Commission et l'administration américaine se sont attachées ces derniers mois à combler le vide juridique créé.

Ce sera prochainement chose faite.

Le 2 février dernier, les Etats-Unis et la Commission Européenne se sont accordés sur un nouveau dispositif. Il faudra maintenant appliquer le « Bouclier Vie Privée » (EU-US Privacy Shield).

PublicitéSafe Harbor vs Privacy Shield : Quoi de neuf ?

Assez peu de chose sur le fond, mais un renforcement des contrôles et sanctions, y compris au regard du droit américain, est à attendre.

Les entreprises américaines qui souhaitent importer des données à caractère personnel provenant d'Europe devront s'engager à respecter des conditions strictes quant au traitement de ces données et garantir les droits des individus.

Une précision sémantique a son importance : par transfert on entend également le « simple » accès depuis les Etats-Unis à des données qui restent hébergées en Europe.

On ne s'éloigne finalement pas de ce qu'imposait feu le « Safe Harbor » aux entreprises effectuant ce rapatriement de données vers les Etats-Unis. Il s'agissait déjà pour elles de s'engager à respecter les principes essentiels du droit européen des données personnelles, à savoir :

- information des personnes ;
- possibilité de s'opposer à un transfert ou à une utilisation des données pour des finalités différentes ;
- consentement explicite pour les données sensibles ;
- droit d'accès et de rectification ;
- sécurité des données.

Le caractère contraignant de ces règles au regard même du droit américain va cependant se trouver renforcé avec le « Privacy Shield ». Sous le contrôle du DoC, les entreprises devront publier leurs engagements par rapport aux principes précités, ce qui les rendra contraignants au regard de la loi américaine et permettra donc à la Federal Trade Commission, agence américaine, de contraindre les entreprises à les respecter.

Les Européens auront également la possibilité d'adresser des demandes d'information à un médiateur spécialement désigné à cette fin et de lui soumettre des plaintes.

Un sort spécifique sera réservé aux données relatives aux ressources humaines. Toute entreprise américaine traitant de telles données provenant d'Europe, ce qui est souvent le cas entre maison-mère et filiales européennes, devra s'engager à se conformer aux décisions des autorités européennes chargées de la protection des données.

Ce qui a conduit la CJUE à invalider le Safe Harbor dans sa décision d'octobre dernier est le constat que la législation américaine rend possible des ingérences, fondées sur la sécurité nationale des États-Unis, dans les droits fondamentaux des personnes dont les données à caractère personnel sont transférées depuis l'Union Européenne vers les États-Unis.

Qu'en sera-t-il sous le régime du « Privacy Shield » ?

Les États-Unis ont garanti « par écrit », dixit le communiqué de presse, à l'Union Européenne que l'accès par les autorités publiques américaines à des fins d'ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties. Les États-Unis ont exclu qu'une surveillance de masse soit exercée sur les données à caractère personnel transférées vers les États-Unis dans le cadre du nouveau dispositif. Pour contrôler régulièrement le fonctionnement du « Privacy Shield », un réexamen conjoint du système aura lieu tous les ans.

Il faut souligner que l'on connaît encore peu de choses de ce nouvel accord conclu entre la Commission Européenne et le DoC. Du côté européen, cet accord doit se traduire par la rédaction d'une décision de la Commission Européenne qui établira les conditions de la reconnaissance du caractère « adéquat » de la protection des données personnelles offerte par le « Privacy Shield ». Cette décision sera soumise au G29 pour avis (il s'agit du groupe des « Cnil » des différents Etats européen).

Dans l'attente de la fin de ce processus, le vide juridique dans lequel s'opère le transfert des données vers les Etats-Unis va perdurer. Car si, en théorie, d'autres mécanismes juridiques existent, il est clair que la suppression du « Safe Harbor » du jour au lendemain n'a pas conduit toutes les entreprises à cesser leurs transferts de données ou à les organiser grâce à ces autres mécanismes juridiques.

Tous espionnés par les géants américains du Web ?

Alors que la question du transfert des données aux Etats-Unis semble se remettre sur les rails de la licéité avec le futur « Privacy Shield », la Cnil a publié le 8 février dernier une mise en demeure à l'encontre de Facebook Inc et Facebook Ireland.

Les reproches adressés par la Cnil à Facebook sont nombreux mais lorsqu'on les analyse dans le détail (ce que nous ne pouvons faire dans le cadre de cette chronique) beaucoup laissent dubitatifs.

Pour exemple, Facebook permet à toute personne qui le souhaite d'indiquer sur son profil ses opinions religieuses et politiques. C'est évidemment facultatif et la personne qui renseigne ces informations le fait volontairement. Les données relatives aux opinions politiques et religieuses font partie des données sensibles qui, selon l'article 8 de la loi, ne peuvent être traitées, sauf consentement exprès de la personne. La Cnil constate que les « utilisateurs doivent pouvoir marquer leur consentement en cochant une case dédiée à l'approbation de l'usage de leurs données personnelles sensibles »... La Cnil considère la position de Facebook non conforme parce que Facebook ne recueille pas le consentement des personnes au traitement de ces données sensibles au moyen d'une case à cocher, alors même que les personnes saisissent volontairement ces données !

Le cheval de bataille de la Cnil est également la complexité des mots de passe. La Cnil considère que Facebook ne pose pas assez de contraintes aux utilisateurs dans leur choix de mots de passe, ce qui entraînerait un manquement à l'article 34 de la loi de 1978 lequel dispose : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Nous sommes perplexes tant sur l'intérêt de la préconisation de la Cnil (car il faudrait toujours aller vers plus de complexité dans les mots de passe) que sur le fondement légal (car il faut être grand clerc pour lire dans l'article 34 une obligation pour un site web à contraindre ses utilisateurs à la complexité du mot de passe).

En filigrane des griefs formulés par la Cnil à Facebook, se cache un combat dont on peut se demander si le régulateur français dispose tant du fondement juridique que des moyens politiques pour le mener : il s'agit de la lutte contre l'exploitation publicitaire, et plus généralement commerciale, du comportement des internautes.

Cette exploitation s'opère depuis les Etats-Unis (nous voilà revenus au « Safe Harbor » qui est l'une des composantes de la problématique) par des algorithmes qui croisent et analysent les données que l'on laisse volontairement ou automatiquement lors de l'utilisation du web, sur quelque terminal que ce soit.

Qu'est-ce que la Cnil a à opposer à cela ? Le non-respect de l'information et du consentement éclairé des personnes lorsqu'un cookie est déposé sur son terminal et l'absence (toute provisoire) de Safe Harbor.

Soyons pragmatiques : qui aujourd'hui lit encore les bandeaux d'information sur les cookies qui s'affichent de-ci de-là sur les sites web ? Qui comprend les implications du clic sur le bandeau ou de l'absence de clic ? Qui paramètre son navigateur pour empêcher les cookies ? Voici des combats qui semblent limités au regard des enjeux et des parties en présence.

Est-ce attentatoire aux libertés publiques et individuelles que des entreprises analysent dans un but commercial le comportement des internautes ? Cette question est fondamentale mais les textes européens n'y répondent pas.

Si la réponse est positive, alors il faudra un texte fort pour interdire une telle pratique. Les bandeaux d'information sur les cookies n'y arriveront pas seuls. Le futur règlement européen sur la protection des données personnelles qui devrait venir remplacer la loi du 6 janvier 1978 dans les deux années à venir changera pourtant peu de choses sur les problématiques évoquées ci-dessus.

Article rédigé par

Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter