Tout sur le nouveau cadre de transfert de données

Image of Carlo Cilento

Publié le 2 août 2023 et modifié le 15 août 2023 par Carlo Cilento

Le 10 juillet, la Commission européenne a adopté sa décision d'adéquation pour les États-Unis, attendue de longue date. Il s'agit de la dernière étape de la mise en œuvre du cadre transatlantique de protection des données (DPF), un cadre bilatéral entre l'UE et les États-Unis qui facilite la circulation des données entre les États-Unis et les pays de l'UE et de l'EEE.

Cette décision ne fait pas l'unanimité. Le Parlement européen a exprimé un avis négatif sur le nouveau cadre et l'ONG noyb, qui s'intéresse de près à cette affaire, a déjà annoncé qu'elle contesterait la décision d'adéquation devant la Cour de justice de l'UE. Ce n'est pas une nouveauté. Deux cadres de transfert de données ont déjà été invalidés dans les arrêts Schrems I et II. Selon toute vraisemblance, Schrems III sera le baptême du feu de ce cadre. Et il est vraiment difficile de dire comment cela se passera.

Mais qu'est-ce que le DPF exactement ? Quel est son impact sur les transferts de données et quelles sont les questions juridiques qu'il soulève ? Découvrons-le !

  1. Qu'est-ce que le cadre transatlantique de protection des données ?
  2. Le cadre transatlantique de protection des données résoudra-t-il le problème des transferts de données entre l'UE et les États-Unis ?
  3. Comment fonctionne le cadre transatlantique de protection des données ?
    1. Les transferts de données en quelques mots
    2. Comment transférer des données vers les États-Unis en vertu du cadre transatlantique de protection des données ?
  4. Quelle est l'histoire du DPF ?
    1. Schrems I et II
    2. Transferts de données après Schrems II
    3. Pourquoi le nouveau cadre a-t-il pris autant de temps ?
  5. Réflexions finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Qu'est-ce que le cadre transatlantique de protection des données ?

Le DPF est un cadre de transfert de données mis en place par le gouvernement américain et la Commission européenne pour faciliter les transferts de données entre les États-Unis et l'UE/Espace économique européen. Il ne s'agit toutefois pas d'un accord international au sens strict, car il repose sur des actes juridiques internes aux cadres juridiques des États-Unis et de l'Union européenne. Ces actes internes résultent de négociations approfondies entre les États-Unis et l'UE.

Du côté européen, nous avons la décision d'adéquation que nous avons mentionnée plus haut. Une décision d'adéquation est un acte unilatéral de la Commission européenne qui reconnaît qu'un pays tiers (dans ce cas, les États-Unis) dispose d'un cadre de protection des données suffisamment solide et qui, par conséquent, "autorise" les transferts de données vers ce pays.

Du côté américain, nous avons le décret 14086, signé en octobre 2022 par le président Joe Biden. Un décret est un ordre émis par le président à l'intention des administrations publiques (dans ce cas, les agences de renseignement). L'Executive Order 14086 comprend des règles qui limitent (quelque peu) les pouvoirs des agences lorsqu'elles traitent avec certains alliés stratégiques, dont l'UE. Il met également en place un système de recours afin d'accroître le degré de contrôle de la surveillance d'Internet sur les citoyens de l'UE et de l'EEE.

islands.png

Le cadre transatlantique de protection des données résoudra-t-il le problème des transferts de données entre l'UE et les États-Unis ?

Oui, si la Cour de justice ne l'annule pas - et c'est un grand "si".

Deux cadres plus anciens (le Safe Harbor et le Privacy Shield) ont déjà été invalidés par la Cour parce qu'ils n'assuraient pas une protection suffisante des données européennes, et l'ONG noyb a déjà annoncé une bataille juridique devant la Cour de justice contre le DPF.

Cela ne signifie pas nécessairement que le DPF sera également invalidé, mais c'est une possibilité réelle. Il est difficile de dire ce qu'il en sera : le DPF est, à certains égards, un progrès par rapport au passé, mais il reste problématique à certains égards.

Comment fonctionne le cadre transatlantique de protection des données ?

Les transferts de données en quelques mots

Pour comprendre l'impact du cadre sur les transferts de données, nous devons d'abord prendre du recul et examiner le fonctionnement des transferts de données dans le cadre du GDPR.

Le GDPR n'autorise que des transferts sûrs et confidentiels de données à caractère personnel en dehors de l' UE (plus exactement, en dehors de l'EEE, car le GDPR s'applique également à l'Islande, à la Norvège et au Liechtenstein).

C'est logique : sans ce principe fondamental, toutes les protections de la vie privée prévues par le GDPR seraient compromises dès que les données personnelles quitteraient l'UE (ce qui arrive tout le temps). Le GDPR n'interdit donc pas les transferts de données à caractère personnel en dehors de l'UE, mais exige qu'ils soient sûrs.

Pour mettre en œuvre ce principe, le GDPR exige certaines garanties pour les transferts de données. En pratique, cela signifie que le GDPR énumère un petit nombre de mécanismes juridiques qui agissent comme des garanties pour les données personnelles et exige que les organisations en choisissent un et le mettent en œuvre correctement avant de transférer des données personnelles. Un transfert de données sans garanties est illégal (à quelques exceptions près).

Les décisions d'adéquation que nous avons mentionnées sont l'une de ces garanties. C'est la mesure de protection préférée de toutes les organisations parce qu'elle ne nécessite que peu ou pas de paperasserie. Cependant, elles ne sont disponibles que pour quelques pays (vous pouvez en trouver la liste sur le site web de la Commission européenne).

Lorsqu'une décision d'adéquation n'est pas disponible, la plupart des organisations ont recours aux clauses contractuelles types (CCN) rédigées par la Commission européenne. Les CCS sont des clauses qui indiquent aux parties ce qu'elles peuvent et ne peuvent pas faire avec les données à caractère personnel. De cette manière, la force contraignante d'un contrat compense l'absence de règles en matière de protection de la vie privée dans le pays du destinataire.

Les CSC sont un outil astucieux mais présentent un défaut majeur : elles ne protègent pas, ou très peu, les données contre la surveillance de l'État. Cela est dû à leur nature contractuelle : elles lient les organisations qui les signent mais ne lient pas les pays.

Malheureusement, la surveillance de l'État est précisément le problème juridique qui fait obstacle aux transferts de données entre l'UE et les États-Unis. La nature extensive et disproportionnée des opérations de renseignement américaines est la raison pour laquelle la Cour de justice a déjà invalidé deux cadres de transfert de données dans les décisions Schrems I et II.

Les arrêts Schrems II ont également eu un impact sur l'utilisation des CSC. La Cour a précisé que les organisations doivent s'assurer que les CSC fonctionnent réellement pour le pays destinataire des données. En pratique, cela signifie que les entreprises qui utilisent des CSC pour envoyer des données aux États-Unis doivent mettre en œuvre des garanties supplémentaires pour protéger les données personnelles de l'Agence nationale de sécurité.

Ce n'est pas la tâche la plus facile au monde et c'est même tout à fait impossible si l'on utilise certains fournisseurs basés aux États-Unis. Pris au sérieux, l'arrêt Schrems II de la Cour de justice peut rendre totalement illégal le recours à de nombreux services américains, y compris des acteurs clés tels qu'Azure, Oracle et AWS. Le DPF et son avenir sont donc importants pour l'économie numérique européenne.

biden.png

Comment transférer des données vers les États-Unis en vertu du cadre transatlantique de protection des données ?

Le DPF simplifiera les transferts de données de deux manières. Premièrement, les organisations européennes peuvent s'appuyer sur la décision d'adéquation pour les États-Unis lorsqu'elles envoient des données à certaines organisations basées aux États-Unis, mais pas à toutes.

Le DPF n'autorise les entreprises de l'UE à transférer des données qu'à des organisations qui adhèrent aux principes du bouclier de protection de la vie privée et qui certifient elles-mêmes cette adhésion au ministère américain du commerce. Concrètement, cela signifie que vous ne pouvez pas vous appuyer sur la décision d'adéquation pour envoyer des données à une organisation qui n'adhère pas aux principes du bouclier de protection de la vie privée. Dans ce cas, vous devrez utiliser une autre mesure de protection, généralement les CSC.

Deuxièmement, les transferts de données vers toutes les autres organisations sont facilités parce que le décret limite (quelque peu) le pouvoir discrétionnaire des agences de renseignement d'espionner les données européennes. Le décret autorise donc les transferts de données basés sur les CSC avec peu ou pas de garanties supplémentaires.

Bien sûr, cela suppose que le DPF survive à Schrems III, ce qui est loin d'être certain !

Il convient également de souligner que vous ne pouvez pas transférer des données à caractère personnel à des entreprises américaines à tout bout de champ simplement parce que vous disposez d'une décision d'adéquation ! Les règles générales du GDPR s'appliquent toujours : si vous n'avez pas de raison légitime de divulguer des données personnelles à une autre organisation, vous ne pouvez pas le faire, même si les données restent dans l'UE. Avec toutes les discussions sur les transferts de données, il est facile d'oublier que les règles de transfert de données ne sont qu'une pièce du puzzle de la conformité.

Quelle est l'histoire du DPF ?

Schrems I et II

Le DPF n'est pas le premier cadre de protection de la vie privée entre l'UE et les États-Unis. Deux cadres de ce type ont été mis en place par le passé et les choses ne se sont pas bien passées.

En 2000, l'UE et les États-Unis disposaient d'un cadre de transfert de données appelé "Safe Harbor". En 2013, après les révélations de Snowden sur la surveillance étendue des données étrangères par les États-Unis, le citoyen autrichien Maximilian Schrems (ce nom reviendra souvent) a déposé une plainte contre Facebook Ireland (aujourd'hui Meta). Il a affirmé que les transferts de données personnelles de l'entreprise vers sa société mère basée aux États-Unis exposaient les informations à un risque substantiel de surveillance par les agences américaines et qu'ils étaient donc illégaux.

Cette affaire a déclenché une bataille juridique de dix ans impliquant l'autorité irlandaise chargée de la protection de la vie privée (DPC), le système judiciaire administratif irlandais et la Cour de justice de l'Union européenne (CJUE). La CJUE s'est prononcée à deux reprises sur la question avec les arrêts Schrems I et II.

Ces deux arrêts, qui font date dans le droit européen de la protection des données, ont tous deux invalidé un cadre de transfert de données - d'abord la sphère de sécurité, puis son successeur, le bouclier de protection de la vie privée (oui, il porte le même nom que les principes du bouclier de protection de la vie privée, ce qui est déroutant). En d'autres termes, le DPF est une troisième tentative.

Les arrêts Schrems I et II sont longs et compliqués et abordent de nombreux sujets, mais ils ont deux conséquences principales.

  • Les décisions d'adéquation ne sont pas des décisions purement politiques. En vertu du GDPR, la Commission ne peut adopter une décision d'adéquation que pour les pays qui assurent "un niveau de protection adéquat" des données personnelles. En d'autres termes, la Commission ne peut pas adopter une décision d'adéquation simplement parce qu'elle apprécie un pays, mais doit prendre en compte des facteurs objectifs. Si ces facteurs ne sont pas évalués correctement, la décision d'adéquation est erronée et peut être invalidée par la Cour de justice. C'est ce qui s'est passé dans les affaires Schrems I et II.
  • Le deuxième enseignement important est que le transfert de données à caractère personnel peut parfois nécessiter des garanties supplémentaires en plus de celles exigées par le GDPR. Le raisonnement est simple : comme les clauses contractuelles standard ne lient pas l'État destinataire, elles ne font rien pour protéger les données européennes contre la surveillance - ce qui est au cœur du problème dans les deux arrêts Schrems II. Par conséquent, pour transférer les données en toute sécurité, les organisations de l'UE doivent trouver d'autres moyens de préserver la confidentialité des données personnelles.

Le problème est évident : les services de renseignement sont doués pour recueillir des informations confidentielles, quelle que soit la façon dont elles sont protégées. Après tout, c'est leur travail. Ainsi, comme nous l'avons expliqué plus haut, il est très difficile - et parfois impossible - pour une entreprise européenne de compléter les CSC par des mesures de protection supplémentaires qui fonctionnent réellement.

researcher-red-shirt.png

Transferts de données après Schrems II

L'affaire Schrems II a été jugée en 2020 et l'arrêt a mis de nombreuses entreprises européennes dans une position difficile parce qu'elles étaient (et sont toujours) très dépendantes de fournisseurs de services basés aux États-Unis. En conséquence, de nombreuses entreprises ont essentiellement ignoré la décision et ont continué à faire des affaires comme d'habitude.

Une ONG de défense de la vie privée appelée noyb (dont Schrems lui-même est membre) n'était pas satisfaite de la situation et a commencé à inciter les autorités à appliquer strictement l'arrêt Schrems II en déposant une série de plaintes contre les transferts de données pour Google Analytics et Facebook Connect. Cela a conduit les autorités chargées de la protection de la vie privée à adopter une position plus stricte sur les transferts de données et à pratiquement interdire Google Analytics dans certains États membres, notamment sur les marchés nationaux clés que sont la France et l'Italie.

(Pour être clair, les autorités chargées de la protection de la vie privée ont décidé de l'affaire au cas par cas, mais il était assez clair que les affaires futures auraient été décidées de la même manière - c'est pourquoi la décision équivalait pratiquement à des interdictions à l'échelle de l'État et a conduit à une panique généralisée parmi les spécialistes du marketing).

Bien entendu, l'enjeu ne se limitait pas à Google Analytics, et la Commission européenne et le gouvernement américain ont donc négocié un nouveau cadre pour le transfert des données. La mise en œuvre de ce cadre a débuté en octobre 2022, lorsque le président Joe Biden a publié le décret 14086, et s'est achevée en juillet 2023, lorsque la Commission a adopté sa décision d'adéquation pour les États-Unis.

Pourquoi le nouveau cadre a-t-il pris autant de temps ?

Si les flux de données entre l'UE et les États-Unis sont si importants pour les deux parties, pourquoi leur a-t-il fallu trois ans pour mettre en œuvre le nouveau cadre ?

La mise en place de ce cadre n'a pas été facile. Le DPF est le fruit d'un travail juridique complexe, en particulier du côté américain.

La Commission voulait absolument un cadre pour le transfert de données, mais il fallait aussi qu'il puisse survivre à un arrêt Schrems III (et il reste à voir si ce sera le cas). Dans le même temps, le gouvernement américain a dû trouver un système qui non seulement satisferait la Cour de justice de l'UE, mais qui serait également conforme aux contraintes du droit constitutionnel américain et à la jurisprudence de la Cour suprême des États-Unis. En d'autres termes, le DPF est une tentative de satisfaire deux cours en même temps.

Si vous avez du temps à tuer, cet excellent article plonge dans le droit américain et explique une partie de l'ingénierie juridique qui sous-tend le mécanisme de recours mis en œuvre par le décret. Que le DPF survive ou non à Schrems III, l'ingéniosité des systèmes est impressionnante.

Réflexions finales

Dans l'ensemble, le DPF est un sujet qui divise, et les gens ont tendance à se diviser en plusieurs camps. Certains considèrent le DPF comme la solution définitive au problème des transferts de données et sont convaincus que Schrems III se passera bien. D'autres, dont Max Schrems et noyb, pensent que le DPF est une copie du Privacy Shield et sont convaincus que la Cour de justice le rejettera.

Nous pensons que la vérité se situe quelque part entre les deux. Le DPF est incontestablement un progrès par rapport au bouclier de protection de la vie privée, mais le bouclier de protection de la vie privée était épouvantable. Malgré les améliorations, le nouveau cadre présente encore des problèmes potentiels.

Schrems III pourrait évoluer dans un sens ou dans l'autre. D'une part, l'avis majoritairement négatif du Parlement européen sur le DPF n'est pas le début le plus prometteur et pourrait très bien pousser la Cour à adopter une position dure. D'autre part, la tension internationale actuelle due à la guerre en Ukraine pourrait pousser la Cour dans la direction opposée et suggérer un certain degré de pragmatisme lorsqu'il s'agit d'un allié stratégique de l'UE.

Nous savons que si le DPF est rejeté, nous reviendrons à la case départ. En fait, les transferts de données pourraient devenir un problème encore plus important après Schrems III, car l'application de Schrems II a pris de l'ampleur depuis 2020 (voir la récente amende de 1,2 milliard d'euros à l'encontre de Meta!) Par ailleurs, la Cour n'abattra probablement pas le DPF sans donner au gouvernement américain et à la Commission quelques indications sur ce qu'elle souhaite voir se concrétiser dans le cadre numéro quatre.

En définitive, nous ne pouvons qu'attendre et voir. En attendant, les entreprises devraient avoir un plan B à portée de main - ou au moins une ébauche de plan - au cas où Schrems III ne se déroulerait pas bien.

La mauvaise nouvelle, c'est que c'est vraiment difficile pour certains fournisseurs de services. La bonne nouvelle, c'est que c'est très facile pour les services d'analyse web. En fait, il n'est pas nécessaire d'attendre Schrems III - de nombreuses entreprises peuvent tirer profit de l'abandon de Google Analytics !

Google Analytics est l'outil d'analyse standard sur Internet, mais il n'est pas irremplaçable. Il existe de nombreuses alternatives, y compris des solutions respectueuses de la vie privée et basées dans l'UE. Et nous avons justement celle qu'il vous faut.

Chez Simple Analytics, nous pensons qu'il n'est pas nécessaire de suivre les visiteurs de manière agressive pour obtenir les informations dont vous avez besoin ! C'est pourquoi nous avons fait de la confidentialité la pierre angulaire de Simple Analytics.

Nos services ne collectent pas de données personnelles, ne prennent pas les empreintes digitales des visiteurs et ne les suivent pas d'une manière ou d'une autre, tout en fournissant d'excellentes informations et en étant très faciles à utiliser par rapport à la concurrence. Si cela vous convient, n'hésitez pas à nous essayer !

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours