Fermer la publicité
Journal d'information juridique et d'annonces légales

La fin du Privacy Shield, vers un développement des binding Corporate Rules ?

le - - Droit - Actualité du droit

La fin du Privacy Shield, vers un développement des binding Corporate Rules ?
@ DR - Lucas Faucher et Samuel Drahi

En lisant cet article sur le site des Affiches Parisiennes vous avez accepté - ou pas – qu'il collecte des données sur vous et votre utilisation d'internet. Il en est de même quel que soit le site sur lequel vous allez. Ces données ont une importance vitale pour de nombreuses entreprises, les plus importantes et les plus dépendantes de vos données étant Facebook et Google Ads, qui les utilisent et les vendent à des annonceurs.

Depuis le 25 mai 2018, cette collecte des données est régie par le Règlement Général sur la Protection des Données (« RGPD »). Tous les citoyens des pays membres de l'Union Européenne sont protégés par le RGPD, qu'ils habitent ou non dans l'Union Européenne (« UE »), et toute personne habitant sur le territoire de l'UE est couverte par le RGPD, quelle que soit sa nationalité[1].

Ce même RGPD interdit par principe aux entreprises qui collectent et exploitent vos données de les traiter ou même de les stocker hors du territoire de l'UE[2]. Deux solutions s'offrent aux entreprises qui souhaitent quand même délocaliser le stockage ou le traitement des données personnelles des citoyens de l'UE. Elles peuvent le faire vers un pays qui a obtenu une décision d'adéquation[3] ou décider de se soumettre à des Binding Corporate Rules ou Règles d'entreprise contraignantes (« BCR »). Les grandes entreprises qui collectent et utilisent vos données personnelles sont souvent nord-américaines. Comment transféraient-elles vos données vers leurs serveurs, souvent basés sur le territoire des Etats-Unis ?

La disparition du Privacy Shield

Afin de garantir à l'Union Européenne un traitement des données conforme à ses exigences, différents traités ont été signés avec des pays extérieurs à l'Union. Avec les Etats Unis, la problématique du transfert des données est cruciale du fait de la prépondérance des acteurs nord-américains dans ce domaine. L'hébergement et le transfert d'informations privées utilisées par une grande partie des entreprises européennes se fait via des serveurs localisés aux Etats-Unis, et détenus par exemple par Amazon (AWS) ou Microsoft.

La directive 95/46/CE a posé les jalons de la protection des données des ressortissants de pays membres de l'UE en interdisant le transfert de données personnelles vers des États non-membres de l'Espace Economique Européen offrant une protection inférieure à celle garantie par celui-ci.

C'est en vue de pérenniser l'essor d'une industrie prometteuse aux Etats Unis qu'a été conclu, dans un premier temps, l'accord « Safe Harbor » avec l'Espace Economique Européen.

Estimant les principes édictés au sein de ce texte insuffisant, la Cour de Justice de l'Union Européenne a finalement considéré l'accord invalide au vu de la directive dans un arrêt célèbre appelé « Schrems »[4]. Maximilian Schrems est un activiste militant pour la protection des données qui avait déclenché une action de groupe à l'encontre de Facebook auprès du régulateur irlandais. Suite au rejet de la plainte par l'autorité nationale, la Cour de Justice de l'Union Européenne s'est saisie de l'affaire avant de conclure à l'inadéquation des pratiques des GAFA avec les exigences européennes en matière de protection des données. Le Safe Harbor est donc déclaré invalide en 2015, tandis que la Commission Européenne et les Etats-Unis entrent en négociation afin de convenir d'un nouvel accord, plus protecteur.

Le Privacy Shield voit le jour le 12 juillet 2016 et encadre les échanges de données personnelles entre les Etats-Unis et l'Union Européenne bien que certaines imperfections subsistent. Les critiques formulées par la CNIL, ainsi que par d'autre institutions chargées de la protection des données dans l'Union Européenne, concernent différents aspects du Privacy Shield. Premièrement, la définition de certaines notions demeure trop imprécise ; par ailleurs, les voies de recours en cas d'exploitation abusive des données par les Etats Unis sont trop complexes à mettre en œuvre. Les exceptions permettant au gouvernement des Etats-Unis d'exploiter les données personnelles des utilisateurs à des fins de sécurité nationale sont également jugées trop imprécisément décrites. Par ailleurs, cet accord est signé alors qu'une évolution majeure s'annonce au sein de l'Union Européenne, à savoir l'entrée en vigueur du RGPD en 2018. Ce nouveau texte a pour but de protéger au mieux les intérêts des citoyens de l'Union Européenne en matière de de données personnelles. Le contraste avec le dispositif d'outre-Atlantique se fait donc d'autant plus criant.

C'est le 16 juillet 2020, dans la perpétuation d'une tradition définitivement estivale, que la CJUE annule la reconnaissance du Privacy Shield comme une protection suffisante des données personnelles des citoyens de l'Union Européenne. Cette décision est la réponse donnée à une question préjudicielle posée par la Haute cour d'Irlande dans le prolongement du litige opposant Maximilian Schrems à Facebook. Ainsi, le Privacy Shield ne permet plus de garantir la légalité des transferts de données personnelles vers les Etats-Unis puisque cet accord est considéré comme insuffisamment protecteur des droits des citoyens de l'Union Européenne. Une des pistes de résolution de ce problème serait l'adoption de Binding Corporate Rules afin d'encadrer strictement l'usage qui pourrait être fait des données des citoyens de l'Union Européenne. Par ailleurs, des aménagements sont envisageables au cas par cas sur le fondement de l'article 49 du RGPD.

Les Binding Corporate Rules, une alternative au Privacy Shield ?

Les Binding Corporate Rules sont un ensemble de règles qu'une entreprise doit mettre en place en son sein. Ces BCR doivent répondre aux critères énoncés à l'article 47 du RGPD, par lequel elles sont créées. Elles doivent être juridiquement contraignantes, donner des droits réellement opposables au profit des personnes dont les données sont collectées, être mises en application par toutes les entités du groupe. Ces règles impliquent que les processus internes de l'entreprise soient aussi rigoureux que le RGPD. L'entreprise qui souhaite se soumettre au régime des BCR doit choisir une autorité de contrôle qui sera son interlocuteur unique au sein de l'UE. Cette autorité de contrôle devra vérifier que les procédures internes sont bien conformes aux normes européennes. De plus, les BCR doivent contenir de nombreuses mentions et être disponibles sur le site internet de l'entreprise qui les adoptent[5]. Chaque BCR est propre à une entreprise, et des entreprises différentes n'auront pas les mêmes BCR.

Ainsi, par exemple, Total a mis en place des BCR[6]. Ces règles étendent à tous les employés du Groupe les obligations que Total a envers ses employés européens ou dont les données sont traitées sur le territoire de l'UE. Cette entreprise a choisi une approche extensive de la protection des données. En effet les BCR de Total couvrent aussi bien les personnes citoyennes de l'UE que non-citoyennes, collaborateurs de Total ou non[7]. Nous verrons quels sont les avantages et les inconvénients d'une telle méthode et si d'autres entreprises doivent suivre l'exemple de Total.

La méthode de Total a un « inconvénient » majeur : elle suppose une vigilance constante des opérations de tout le périmètre du Groupe ainsi que de ses sous-traitants. Cela a un coût et nécessite un mécanisme d'audit interne poussé et une adhésion de tous les stakeholders à la volonté de l'entreprise. A titre subsidiaire, les BCR étant contraignantes il faut se demander si elles ne peuvent pas être détournées par des militants ou des activistes qui souhaiteraient ainsi utiliser les règles que se fixe une entreprise, notamment en matière d'accès aux données personnelles, pour lui nuire. Ainsi une possibilité est d'organiser une attaque coordonnée visant à demander à une entreprise les données concernant un grand nombre de personnes de manière à surcharger le service qui en est responsable, dans le but de faire passer l'entreprise dans l'illégalité du fait de sa non-conformité avec ses BCR ou avec le RGPD.

Cependant la mise en place de BCR offre deux avantages majeurs : la désignation d'une autorité de contrôle comme autorité liaison unique, d'une part, et la possibilité de stocker des données personnelles hors de l'UE, d'autre part.

Une entreprise implantée dans plusieurs pays de l'UE et qui n'a pas mis en place de BCR se retrouve placée sous la juridiction des autorités de contrôle de chaque pays dans lesquels elle est implantée. Lors de la rédaction de BCR, l'entreprise obtient le droit de choisir une autorité de contrôle qui jouera le rôle de point de contact entre toutes les autres autorités et l'entreprise. Cela permet de diminuer le nombre des interlocuteurs et de créer une relation de confiance avec une autorité de contrôle. Il y a donc une économie de coûts. Enfin, ce choix empêche les autres autorités de lancer des investigations sans en référer à l'autorité point de contact.

Une des conséquences économiques du RGPD est la relocalisation forcée des opérations de stockage de données sur le territoire de l'UE[8]. Il y a une interdiction de principe de stocker les données de citoyens de l'UE hors du territoire de l'UE. Cependant, il est possible de contourner cette interdiction si le pays dispose d'une déclaration d'équivalence. Comme nous l'avons vu précédemment, la CJUE a suspendu la déclaration d'équivalence UE-États-Unis. Aujourd'hui, le seul moyen pour une entreprise de stocker des données européennes aux États-Unis est d'avoir mis en place des BCR. Cette obligation s'impose non seulement aux GAFAM qui stockaient les données aux Etats-Unis, mais aussi à toute entreprise qui utilise les GAFAM pour traiter les données personnelles de ses clients. Le RGPD leur donne la responsabilité de contrôler leurs sous-traitants, qui peuvent parfois être des multinationales ! Pour les entreprises il y a donc deux solutions : rapatrier les serveurs en Europe ou mettre en place des BCR au niveau mondial pour continuer à stocker ces données hors du territoire de l'UE. Il s'agit alors d'opérer une analyse coût/bénéfice qui est propre à chaque entreprise.

Il sera intéressant de voir les décisions des GAFAM sur ce sujet, notamment au vu de possibles changements législatifs aux États-Unis qui rendraient les standards nord-américains plus proches de ceux en vigueur au sein de l'UE et permettraient peut-être une nouvelle décision d'adéquation. Il ne parait pas possible que les GAFAM abandonnent le marché européen qui est maintenant leur deuxième source de revenus.

Les entreprises décideront-elles d'utiliser les standards européens pour tous leurs utilisateurs, avec un risque de perte de revenus, ou verra-t-on la naissance d'une protection des données à deux vitesses avec des citoyens européens privilégiés par rapport aux autres ?

Enfin, les autorités de contrôle décideront-elles enfin d'appliquer les sanctions prévues par le RGPD ? Sinon il risque bien de n'y avoir aucun changement d'attitude des grandes entreprises qui vivent de nos données personnelles.

[1] Article 3, al. 1 et 2 RGPD
[2] Article 44 RGPD
[3] Article 45 RGPD
[4] C 362/14 octobre 2015
[5] Article 47, al. 2 RGPD
[6] https://www.fr.total.com/version-resumee-des-binding-corporate-rules-de-total
[7] https://www.total.com/fr/donnees-personnelles#note%201 Annexe 1 Paragraphe 3 : Champ d'application
[8] # https://www.data4group.com/dictionnaire-du-datacenter/rgpd-de-bonnes-raisons-dheberger-ses-donnees-en-france/

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer