Privacy Shield : Comment protéger les données de votre entreprise aux États-Unis
Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers.
Une donnée personnelle peut-être définie au sens large comme toute donnée permettant d’identifier directement ou indirectement une personne physique (nom, prénom, adresse, numéro de téléphone etc.).
Les pays tiers qui accordent un niveau de protection équivalent à celui imposé par la réglementation européenne sont reconnus comme tels par une décision de reconnaissance de la Commission Européenne. C’est notamment le cas des Etats-Unis avec l’accord « EU-US Privacy Shield » (ou bouclier de protection des données) qui est officiellement entré en vigueur en 2016.
Encore méconnu des entreprises, le Privacy Shield est un mécanisme d’auto-certification des entreprises américaines qui est venu remplacer l’ancien système du « Safe Harbor » suite à son invalidation par la Cour de justice de l’Union européenne (CJUE) dans l’arrêt Schrems (CJUE, 6 octobre 2015, affaire C-362/14).
Le Privacy Shield a pour ambition de garantir un niveau de protection « en adéquation » avec les principes du Règlement Général sur la Protection des Données (RGPD) pour les transferts ou le stockage de vos données internes (données internes, données clients, données fournisseurs) aux États-Unis. Il fait l’objet d’un réexamen annuel conjoint par les autorités européennes et américaines. A l’occasion de son troisième bilan, un rapport émis par la Commission Européenne le 23 octobre 2019, conclut toujours que « les États-Unis continuent de garantir un niveau suffisant de protection des données personnelles transférées de l’UE vers les sociétés participantes »[1].
Toutefois, les entreprises européennes agissant en qualité de responsable de traitement[2] doivent veiller à ce que le transfert soit conforme au droit applicable en matière de protection de données à caractère personnel :
- en informant les personnes concernées de l’identité des destinataires de leurs données, et
- en s’assurant que le transfert respecte les principes de finalité, de proportionnalité, de qualité des données, ainsi que les obligations d’information envers les personnes concernées.
Ainsi, avant de transférer des données à caractère personnel auprès d’une entreprise établie aux États-Unis, les entreprises européennes peuvent s’assurer que la société américaine dispose d’une certification Privacy Shield, que celle-ci est encore active et que ladite certification couvre bien les types de données concernées (plus particulièrement les données sensibles telles que : les données de santé, biométriques, de ressources humaines, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou encore l’orientation sexuelle).
A cet effet, la Commission Fédérale du Commerce (FTC) énumère les entreprises actuellement certifiées qui recueillent des données personnelles. Cette liste, composée de plus 5 000 entreprises certifiées, est régulièrement mise à jour et peut être consultée via le lien suivant : https://www.privacyshield.gov/list
Une entreprise américaine certifiée doit garantir le respect des principes suivants :
- le principe d’information sur les types de données personnelles collectées et notamment des données sensibles,
- le principe du choix qui repose sur la faculté pour l’utilisateur d’accepter de partager ses données à des tiers et d’accepter que ses données soient réutilisées pour des finalités différentes de celles du traitement d’origine,
- le principe d’intégrité des données et de finalité du traitement,
- l’obligation d’assurer la sécurité des données,
- l’obligation de protéger les données lorsque celles-ci sont transférées à une société tierce.
Le dispositif du Privacy Shield accorde également un certain nombre de droits aux personnes dont les données ont été transférées par une entreprise européenne aux Etats-Unis :
- le droit d’être informées d’un tel transfert, et
- le droit d’exercer leurs droits d’accès, de rectification et de suppression des données qui ont été transférées.
Si la société américaine certifiée a violé ses obligations prévues par le Privacy Shield, ou si elle n’a pas respecté les droits reconnus en vertu des principes susmentionnés, les personnes dont les données ont été transférées doivent s’adresser en priorité à ladite société qui doit être en mesure de :
- répondre à la plainte dans un délai de 45 jours ;
- proposer une résolution des litiges indépendante et gratuite pour répondre aux préoccupations de celles-ci en matière de protection des données ;
En cas de non-réponse de la société américaine, une plainte pourra être déposée auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui adressera la requête à un médiateur indépendant de l’administration américaine, dit « Ombudsperson », chargé de traiter les plaintes liées au Privacy Shield.
Ce mécanisme n’exonère pas pour autant les entreprises européennes agissant en qualité de responsable de traitement, de conclure un contrat de sous-traitance de données lorsqu’elles souhaitent faire appel à une entreprise américaine, indépendamment du fait que cette société ait reçu une certification ou non.
La conclusion d’un contrat est nécessaire afin de s’assurer que le sous-traitant établi aux États-Unis s’engage à :
- agir uniquement sur les instructions qui lui sont données par le responsable de traitement,
- mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés et déterminer si un transfert ultérieur est autorisé, et
- assister le responsable de traitement pour répondre aux personnes qui exercent leur droit d’accès à leurs données à caractère personnel.
Il est essentiel pour les sociétés européennes d’intégrer dans leurs contrats des clauses contractuelles spécifiques garantissant notamment un engagement sur la notification des failles de sécurité, ainsi que sur les engagements relatifs à la suppression des données une fois que le contrat de prestation de service sera résilié.
En définitive, le Privacy Shield ne constitue donc pas une garantie optimale de protection des données mais un système de principes mis en place par des entreprises volontaires souhaitant offrir un certain niveau de sécurité, avec un contrôle des autorités compétentes.
A la question : « Peut-on espérer que la législation américaine puisse offrir dans un futur proche le même niveau de protection que nos normes européennes ? » La réponse actuelle nous paraît forcément pessimiste.
En effet, ne perdons pas de vue que la protection des données personnelles aux Etats-Unis repose sur une organisation normative distincte mais surtout sur une philosophie éloignée de nos lois européennes.
Cette différence tient tout d’abord à l’organisation fédérale du système américain. Au niveau fédéral, seules les atteintes portées par le gouvernement à la vie privée des citoyens sont visées par le Privacy Act[3]. Les autres atteintes à la vie privée et à la protection des données personnelles relèvent de la compétence propre de chaque État et de la compétence de ses tribunaux, sauf à porter atteinte à l’une des libertés fondamentales reconnues par la Constitution américaine, comme l’a établi la Cour Suprême depuis 1925 (Pierce, Governor of Oregon, et al. v/ Society of the Sisters of the Holy Names of Jesus and Mary, 268 U.S. 510 – 1925).
A cela s’ajoute le caractère sectoriel des réglementations. Le droit américain ne dispose pas d’un texte unique comme en Europe, il a au contraire tendance à réguler les atteintes aux données personnelles par catégorie d’individus, par domaines et par secteur d’activités. De même, la Cour suprême aborde le droit à la vie privée et à l’autonomie personnelle au cas par cas. À mesure que l’opinion publique change au sujet des relations sociales et des activités économiques, les frontières de la protection de la vie privée se façonnent. Enfin, d’un point de vue philosophique, selon les experts Paul M. Schwartz et Karl-Nikolaus Peife, cette différence s’explique par le fait que « L’Europe protège les données des individus en tant que citoyens et sujets de droit. Les Etats-Unis les protègent en tant que consommateurs sur une place de marché »[4].
Ainsi, sans un texte unique au niveau fédéral qui serait applicable uniformément sur le territoire américain, on voit mal comment les Etats-Unis pourraient garantir un niveau de protection des données personnelles équivalent aux normes européennes.
[1] Report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy Shield (23 October 2019)
[2] Selon la CNIL, est responsable de traitement la personne physique ou morale qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.
[3] Le Privacy Act of 1974, 5 U.S.C. § 552a, établit un code de pratiques loyales et équitables en matière d’information qui régit la collecte, la conservation, l’utilisation et la diffusion des renseignements sur les individus et qui est conservé dans les systèmes de dossiers des organismes fédéraux.
[4] Schwartz, Paul M. and Peifer, Karl-Nikolaus, Transatlantic Data Privacy (November 7, 2017). 106 Georgetown Law Journal 115 (2017); UC Berkeley Public Law Research Paper.
Sources :
https://www.privacyshield.gov/welcome
