Il y a quinze jours, la Cour européenne de justice a fait souffler un vent glacial sur le business transatlantique en annulant (encore !)  le cadre qui règle les transferts de données entre les États-Unis et l'Europe, la décision dite « Privacy Shield », après « Safe Harbour ». Dans les deux cas, on retrouve le même plaignant, M. Schrems, un citoyen autrichien, qui en fait un vrai business (d'activiste).

Ses données personnelles hébergées par Facebook, s'était-il plaint, n'ont pas une protection digne du RGPD, le Règlement général de protection des données, sur le territoire américain en dépit des garanties obtenues par la Commission auprès des autorités américaines. La Cour l'a suivi (1) et ne laisse même pas de période de grâce : sa décision s'applique tout de suite ! Si des données personnelles de vos clients ont le malheur de faire un aller-retour par les États-Unis pour mille raisons, vous êtes depuis mi-juillet dans l'illégalité.

Si vous avez de la chance, votre fournisseur américain avait déjà prévu le coup et fait en sorte que vos données ne transitent jamais par les USA. C'est le cas des fournisseurs  de clouds qui s'arrangent pour ne jamais faire sortir les données de leurs centres de données européens. Mais gare à tous les autres cas de figure. Le forum des autorités de protection des données des 27 États membres et des 3 Etats de l'Espace Economique Européen, dont la Cnil (l'EDPB ou European Data Protection Board) a publié des conseils pour guider les sociétés et leurs fournisseurs américains désorientés (2).

Lire aussi : Le « RGPD californien », une loi modèle, exportable au reste des États-Unis

Revoir les contrats

Il faut revoir les contrats, expliquent ces autorités. Un contrat est compatible avec le RGPD s'il contient des clauses standards dites « SCC » (Standard Contractual Clauses) dont le modèle a été approuvé par la Commission. La Cour européenne de justice, dans son arrêt invalidant le Privacy Shield, ne remet pas en cause leur validité mais, en l'espèce, elles sont inutiles dit-elle, puisque la loi américaine rend ces SCC inopérants. Il faut, dit l'EDPB, des mesures supplémentaires de protection des données.

C'est la même conclusion pour les BCR, les Binding Corporate Rules, un concept plus fort que les SCC. Elles lient personnellement les entreprises qui y  souscrivent lorsque l'une d'elles est hors Europe : elles s'engagent à compenser le manque de protection des données personnelles. Ces BCR doivent même être approuvées par les autorités de protection des données des États membres d'origine de ces entreprises. Ces BCR se font au cas par cas et Privacy Shield ambitionnait justement de l'éviter. Les entreprises américaines pouvaient obtenir une certification Privacy Shield à la place.

Mais ces BCR ne compensent que l'absence de lois de protection des données.  Or, les États-Unis n'ont pas une législation incomplète, dit la Cour. Elles ont carrément une législation qui s'oppose à la protection des données, puisque les autorités américaines peuvent les consulter grâce à leur propre cadre juridique. Les BCR aussi seraient inopérantes. Là aussi il faut des mesures de protection supplémentaires.

La nature de ces mesures supplémentaires reste peu claire. L'EDPB explique qu'elle viendra en son temps avec des explications sur leur nature. Mais n'attendez pas, dit-elle. Renégociez vos contrats et montrez que vous tentez de prendre des mesures de protection, techniques, organisationnelles ou légales, contre lesquelles même les USA ne peuvent rien faire.

Multiplier les avatars

Tant qu'à faire, l'EDPB propose de suivre la même approche pour tous les pays tiers qui n'ont pas de législation de protection des données personnelles ad hoc. Là aussi, les BCR qui lient les entreprises de ces pays et celles de l'Europe doivent être « augmentées » de mesures supplémentaires. C'est du bon sens quand on sait que les Américains n'ont rien à envier aux Chinois ou aux Russes qui ne s'encombrent sûrement pas d'une législation pour fouiner dans les données en provenance d'Europe (heureusement, les occasions sont moins nombreuses !).

Quant aux exceptions de l'article 49 du RGPD qui permettent exceptionnellement de transférer des données hors Europe (pour la bonne exécution d'un contrat, quand le citoyen y consent ou quand il s'agit d'une question d'intérêt public couvert par une loi de l'État membre concerné), elles ne peuvent jamais devenir la règle. Facebook ne peut se retrancher derrière ses conditions générales pour faire comme avant.

Mais la garantie de n'avoir aucune de ses données sur le territoire américain n'offre pas la protection tant « désirée »  par M. Schrems. Les USA peuvent invoquer le Cloud Act pour inspecter des données en Europe. Devrons-nous, dans le futur, créer et utiliser des logiciels vantards qui donnent vie à des centaines d'avatars pour protéger notre vie privée ? Tout le contraire d'être identifié sur internet.

Lire aussi : Protection des données : le monde appartient à ceux qui anticipent

1. https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=FR

2. https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en