Ces collectes de données, clés de voûte du business model des acteurs du cyberespace, répondent avant tout à une logique économique de rendement reléguant les utilisateurs et le respect de leurs droits les plus fondamentaux au second plan. Ces derniers voient alors s’éroder leur capacité à décider et contrôler les usages qui sont faits de leurs données personnelles, celles-ci faisant régulièrement l’objet de nombreux transferts vers des pays tiers où elles peuvent être soumises à des régimes juridiques moins protecteurs.
Se pose ainsi la question impérieuse de la souveraineté numérique[1], qui correspond à la capacité d’un État à contrôler les technologies qui sont employées par ses citoyens et sur son territoire, ainsi que sa faculté à garantir le respect de ses lois par les différents acteurs du monde digital. Elle inclut également le droit à « l’autodétermination informationnelle », tel que défini par la Cour constitutionnelle fédérale allemande dans son arrêt de 1983 et inscrit à l'article 1er de la loi Informatique et Libertés par la loi n°2016-1321 du 7 octobre 2016[2], c'est-à-dire le droit pour chaque individu de décider lui-même de la communication et de l'emploi des informations le concernant.
Ce droit est alors particulièrement difficile à faire respecter dans un monde où les principaux logiciels de traitement des données sont américains et ont été développés par des entreprises établies aux États-Unis. En effet, cette concentration territoriale a fait s’accroître considérablement le pouvoir des géants du numérique – les américains GAFAM et NATU (Netflix, Airbnb, Tesla, Uber) – étant donné que nos modes de vie et de consommation sont devenus dépendants des technologies digitales et donc des entreprises qui les contrôlent. Ces dernières jouissent d’une position de quasi-monopole qui leur confère un tel pouvoir que les rapports de force et les modes de gouvernement sont bouleversés[3]. Les États, jusqu’alors garants de la souveraineté et de la préservation des libertés fondamentales, se trouvent concurrencés et contestés dans l’exercice de leurs prérogatives classiques. Avec 92%[4] des données européennes hébergées aux États-Unis, l’invalidation du Privacy Shield en 2020 pose la question du cadre légal du transfert de données UE – USA et de la stratégie à suivre par l’Union Européenne pour continuer de garantir le respect des droits fondamentaux de ses citoyens.
L’encadrement des transferts de données entre l’Union européenne et les Etats-Unis
Dès 1980, l’OCDE a adopté des lignes directrices pour la protection de la vie privée et les flux transfrontaliers de données à caractère personnel ; mais c’est la directive n°95/46/CE de 1995 sur la protection des données qui a mis en place des règles protégeant les citoyens européens contre le transfert incontrôlé de leurs données. Toutefois, du fait du transfert massif vers les États-Unis, l'adoption des principes dits de Safe Harbor par le Département du Commerce américain et la Commission européenne devint rapidement une nécessité
Du Safe Harbor au Privacy Shield : l’échec successif des tentatives de réglementation pour encadrer les transferts de données transatlantiques
L'objectif du Safe Harbor était d'autoriser la circulation des données personnelles, tout en garantissant un niveau de protection "adéquat" au sens de la législation européenne. Le système fonctionnait selon une forme d’auto-certification contrôlée par la Federal Trade Commission, qui avait le pouvoir de garantir le respect effectif des principes et d’imposer des sanctions. En 2000, la Commission européenne a reconnu le caractère "adéquat" de la protection ainsi proposée, permettant alors aux entreprises nord-américaines ayant adhéré à l’accord – en s’engageant à respecter ces principes – de transférer des données personnelles sans que les États européens puissent s'y opposer.
Malgré l'adoption du Patriot Act dès 2001, qui a conféré aux agences fédérales américaines de larges pouvoirs de surveillance, ce n'est qu'après les révélations d'Edward Snowden sur les pratiques de l'Agence nationale de sécurité (NSA) et l’affaire opposant Max Schrems – militant autrichien et Président de l’ONG None Of Your Business (NOYB) qui lutte contre la protection des données personnelles – à Facebook, que la Cour de justice de l'Union européenne jugea, en 2015, que les principes du Safe Harbor ne garantissaient plus une protection adéquate des citoyens européens. Par son arrêt Schrems, la CJUE a donc invalidé le Safe Harbor. Suite à cette décision, la Commission européenne et les autorités fédérales américaines ont travaillé rapidement sur la mise en place d’un nouvel accord : le EU-US Privacy Shield. Malgré des réserves, la Commission Européenne valida l’accord le 12 juillet 2016, dans le but de maintenir le plus rapidement possible les relations commerciales. Désormais, les entreprises qui transfèrent des données personnelles aux États-Unis sont soumises à des obligations plus lourdes et à un contrôle accru de la part du ministère du Commerce et de la Federal Trade Commission.
Ce second accord est intervenu au moment où l’Union Européenne adoptait la nouvelle législation du Règlement Général sur la Protection des Données (RGPD), qui prévoit un niveau élevé et harmonisé de protection des données personnelles dans toute l'Europe. Ce règlement, tout en s'inscrivant dans le cadre fixé par la directive de 1995, relève le niveau d'exigence des entreprises qui transfèrent des données vers des pays tiers. Ces transferts ne sont possibles que s'ils sont fondés sur une décision d'adéquation adoptée par la Commission – processus prévu par l’article 45, qui autorise le transfert de données à caractère personnel depuis l’UE vers un autre pays dans la mesure où un niveau de protection identique à celui proposé par l’UE est assuré – ou, à défaut, dans des circonstances très spécifiques[5]. Entre autres, lorsque des garanties appropriées ont été fournies, par exemple par des règles d'entreprise contraignantes (BCR) ou des clauses contractuelles types.
Par ailleurs, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté par le Congrès américain le 23 mars 2018, est venu directement contredire l’article 48 du RGPD qui prévoit que le transfert de données personnelles à une juridiction ou autorité administrative d’un pays tiers ne peut avoir lieu que s’il est fondé sur un accord international. En effet, le CLOUD Act permet aux autorités américaines d'accéder et de contrôler les données relatives aux utilisateurs de services proposés par des entreprises établies et immatriculées aux États-Unis. Il modifie le Stored Communications Act (SCA) et permet aux autorités fédérales et étatiques américaines d’exiger d’un fournisseur de services américain qu’il leur communique les données qu’il a sous son contrôle, même si elles sont hébergées en dehors des États-Unis. De fait, il crée une faille dans le RGPD et menace directement la protection des citoyens européens.
Finalement, la CJUE (Cour de justice de l’Union européenne) a estimé que le Privacy Shield n’offrait pas de garanties suffisantes du fait de l’absence de recours pour les utilisateurs sur l’utilisation de leurs données, et du risque persistant que les services de renseignement américains accèdent aux données personnelles des citoyens européens. Par son arrêt Schrems II, rendu le 16 juillet 2020, elle a invalidé le Privacy Shield, jetant à nouveau l’incertitude sur les transferts transatlantiques de données[6].
La signature d’un nouveau décret exécutif par le gouvernement Biden : des garanties enfin satisfaisantes pour l’Union européenne ?
Selon Wilbur Ross, ancien Secrétaire au commerce des Etats-Unis, la signature de cet accord bilatéral est vitale pour les citoyens, entreprises et gouvernements respectifs[7]. En effet, l’enjeu de ce nouvel accord – aujourd’hui chiffré à plus de 7 milliards de dollars – est avant tout financier et a pour but de limiter les conséquences négatives sur la relation économique transatlantique, tant les transferts de données constituent une dimension essentielle du commerce international.
Un accord de principe transatlantique
Un accord de principe été signé le 25 mars 2022 entre les Etats-Unis et l’Union Européenne pour la libre circulation des données personnelles. Il a été suivi le 7 octobre de la signature par Joe Biden d’un décret exécutif sur le renforcement des garanties de transfert[8].
Ce nouveau cadre devrait permettre de combler les lacunes et incertitudes juridiques sur la protection des données. Il renforcera notamment la préservation des principes de vie privée et de libertés civiles, pour protéger davantage la confidentialité des données personnelles des citoyens de l'Union européenne[9].
Le nouveau décret prévoit notamment :
- des garanties contraignantes qui limitent l’accès aux données par les autorités de renseignement américaines à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
- la mise en place d’un mécanisme de recours indépendant et impartial pour les personnes concernées ;
- l’obligtion pour les agences de renseignement américaines de revoir leurs politiques et procédures pour mettre en œuvre ces nouvelles garanties.
Concrètement, ce décret doit permettre aux citoyens européens de demander réparation auprès d’un tribunal indépendant, composé de membres extérieurs au gouvernement américain. Cet organe de régulation (aussi appelé Cour de révision) sera en mesure d'ordonner la suppression des données ou leur correction. Les plaintes seront examinées au préalable par un agent de protection des libertés civiles, dépendant de la direction du renseignement américain. En Europe, le plaignant pourra s'adresser à l'autorité nationale de protection des données de son pays.
En attendant la signature de cet accord, et à défaut de procédure particulière mise en place pour la protection des données, l’ensemble des transferts vers les Etats-Unis demeure aujourd'hui par principe interdit.
Des désaccords qui persistent
Malgré l’accord de principe, plusieurs étapes sont néanmoins indispensables avant d’obtenir une réelle décision d’adéquation conforme à l’article 45 du RGPD : (i) l’obtention d’un avis du Comité Européen de la Protection des Données (CEPD) et (ii) le feu vert d’un comité composé de représentant des Etats membres de l’Union Européenne.
De plus, si ce nouveau texte met en apparence des garde-fous pour la libre circulation des données personnelles, des voix s’élèvent déjà considérant qu’il ne pourra pas aboutir. A l’instar de celle de Max Schrems, qui conteste ce nouveau décret sous l’angle de la signification divergente du principe de proportionnalité[10] tel qu’énoncé à l’article 5, paragraphe 4, du traité sur l’Union européenne.
En droit européen, l’obligation de proportionnalité commande de ne pas excéder ce qui est nécessaire à la réalisation des objectifs. En vertu de ce principe, les mesures de l’Union européenne :
- doivent être adaptées pour atteindre le but recherché ;
- doivent être nécessaires pour atteindre le but recherché ; et
- ne doivent pas imposer à l’individu une contrainte excessive par rapport à l’objectif à atteindre (proportionnalité au sens étroit)[11].
Selon Max Schrems, l’introduction du principe de proportionnalité dans le nouveau décret Biden ne suffit pas car l’interprétation faite par les États-Unis – des mesures qui en découlent – diverge toujours de celle de l’Union européenne. En conséquence, les données transférées vers les États-Unis ne seraient toujours pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité.
Par ailleurs, le statut du nouvel organe de régulation de la protection des données est également mis en cause. En effet, ce tribunal ne sera pas totalement indépendant car même s’il sera composé de membres extérieurs il relèvera in fine de la branche exécutive du gouvernement américain. Ce faisant, il ne sera pas possible de bénéficier du recours judiciaire prévu par la Charte des droits fondamentaux de l’Union européenne. Dans ce contexte, Max Schrems a explicitement déclaré qu’il s’engagerait personnellement à saisir de nouveau la CJUE pour dénoncer les insuffisances de ce nouvel accord afin de protéger les données des citoyens européens.
Dans la perspective d’une signature effective, cela nous amène donc à nous questionner sur la durée de vie de ce futur accord dont le processus de ratification par la Commission européenne ne sera pas finalisé avant l'été 2023.
La situation de Meta et Google Analytics 360 face à ce nouveau décret
Ce nouveau décret va donc être examiné de près par ceux qui profitent le plus du business des données : focus sur Meta et Google Analytics 360.
Un impact pour Meta, et au délà
L’affaire initiée par Max Schrems, à l’origine de la plainte initiale contre Meta (Facebook), cristallise l'ambiguïté qui encadre le transfert de données transatlantiques depuis l’invalidation du Privacy Shield.
En août 2020, l’Irish Data Protection Commission (DPC) – l’homologue irlandais de la CNIL – a rendu une ordonnance préliminaire contre Meta l’interdisant d’utiliser des clauses contractuelles types pour justifier le rapatriement des données personnelles des citoyens européens vers sa maison mère aux États-Unis. En outre, les réglementations aux Etats-Unis ont échoué à garantir un niveau de protection adéquat. Facebook/Meta a fait appel de cette décision devant la Cour suprême d’Irlande mais son recours a été rejeté. En Juillet 2022, la DPC s’est prononcée à nouveau en faveur d’une interdiction de transfert outre-Atlantique. C’est désormais aux 26 autres autorités européennes régulatrices d’émettre des observations concernant la position de la DPC[12].
En attendant que Bruxelles et Washington signent un nouvel accord, ou que les États-Unis modifient leurs lois de surveillance, Meta doit donc choisir entre :
- isoler les données européennes du reste de son réseau et investir dans des serveurs d’hébergement européens afin que le niveau de protection soit adéquat, ou
- arrêter tout traitement de données européennes aux États-Unis et donc fermer ses services au marché européen[13].
Mais la position de Meta est de rendre responsable l’absence de cadre juridique clair depuis l’invalidation du Privacy Shield. Selon son porte-parole, Nick Clegg, “les entreprises ont besoin de règles claires et précises, étayées par un solide État de droit, pour protéger à long terme les flux de données transatlantiques”[14].
Il n’y aurait alors plus aucun cadre légal qui permettrait à Meta de continuer à offrir ses services sur le marché européen sans une modification profonde de son mode d’opération. L’enjeu est donc avant tout financier car Meta réalise un peu moins d’un quart de son chiffre d’affaires total en Europe. L’interruption des transferts est largement plus préjudiciable qu’une amende, d’autant qu’il est au cœur de son mode de fonctionnement, et donc de son existence.
Par ailleurs, la portée de cette décision dépasse largement la seule situation de Meta et aurait de fortes répercussions sur toutes les entreprises technologiques qui opèrent en Europe. Cela pourrait donc bloquer de nombreux secteurs économiques et pousserait les autorités de protection des données à lancer un très grand nombre de procédures provoquant un engorgement sur plusieurs années.
Enfin, l’enjeu est politique car il y a d’un côté Bruxelles qui mise, au nom de la souveraineté numérique, sur le rapatriement des données sur son sol, et de l’autre, Washington, qui ne semble pas déterminé à modifier en profondeur l’accès de ses services de renseignement aux données européennes. Ce bras de fer fait ainsi reposer le maintien des liens commerciaux transatlantiques sur la mise en place d’un nouveau cadre légal, comme initié avec le décret signé par le président Biden. Cette affaire cristallise également les rapports de force entre les États et les géants américains du numérique qui tentent de s’immiscer dans les processus décisionnels.
Google Analytics 360, une nouvelle version encore imparfaite
La CNIL, après un processus de coopération avec ses homologues européens, a mis en demeure plusieurs organismes utilisant Google Analytics en raison des transferts illégaux de données vers les États-Unis. Google Analytics est un service Google gratuit d’analyse de données d’audience de sites web et d’applications largement utilisé par les professionnels du secteur (+80% du marché mondial). Parmi les entreprises françaises en cause on peut, entre autres, citer les enseignes de grande distribution telles que Auchan, Decathlon et Leroy Merlin ou encore Free et Sephora[15], lesquelles disposaient d’un délai d’un mois pour se conformer.
A posteriori la CNIL est venue préciser que :
- d’une part, les clauses contractuelles types (CCT), établies par défaut entre Google Analytics et ses utilisateurs, ne peuvent à elles seules assurer un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales, et
- d’autre part, que la seule modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas à satisfaire les exigences européennes, notamment car ces données continuent à être transférées aux États-Unis[16].
Dans sa nouvelle version, le géant américain tente, tant bien que mal, de se conformer au RGPD. En effet, la quatrième version accorde une plus grande place à la confidentialité dans ses mesures, l'outil ne stockant par exemple plus les adresses IP des internautes. En réalité, cela est à nuancer car Google collecte les données issues d'appareils situés dans l'Union européenne – en fonction de recherches de géolocalisation par adresse IP – via des domaines et des serveurs qui ne sont que partiellement basés dans l'Union européenne[17].
Il semblerait donc qu’il faille encore attendre les versions suivantes pour que Google Analytics soit réellement conforme au RGPD, le temps que la maison mère implante tous les moyens techniques et organisationnels nécessaires pour assurer la sécurité et la confidentialité des données. En effet, les efforts à produire sont encore nombreux car l’Union européenne et les Etats-Unis ont une approche structurellement différente de la notion de protection des données. D’autant plus que Google cherche avant tout à défendre ses intérêts économiques et financiers de part et d’autre de l’atlantique.
En attendant la mise en œuvre opérationnelle de la version 4 prévue pour l’été 2023, des solutions concrètes existent pour garantir une réelle protection des données : l’utilisation d’un proxy – permettant de rompre le contact direct entre le terminal de l’internaute et le serveur – ou le choix d’un outil de mesure d’audience européen – ne réalisant de facto pas de transferts de données personnelles en dehors de l’Union européenne – conforme au RGPD[18].
Finalement, on peut se demander si l’ensemble des produits Google ne sont pas tous in fine non conformes au RGPD, à l’instar de Google Ads, le programme de publicité en ligne de Google. Par ailleurs, force est de constater que ce raisonnement pourrait s'appliquer bien au-delà des « produits » Google. Il présage surtout que des outils plus élaborés comme des services de Cloud ou de paiement américains sont potentiellement concernés, autrement dit non conformes et illégaux.
En somme, la souveraineté numérique des citoyens européens est plus que jamais au cœur des rapports de force transatlantique. Compte tenu des enjeux politiques, économiques et financiers, l’Union européenne et les autorités américaines tentent bon an mal an de combler les lacunes du Privacy Shield. Toute la complexité réside dans le fait que les deux parties ont une approche structurellement différente de la protection des données, qu’aucun accord ne pourra vraiment effacer. Une chose est sûre, c’est qu’un accord final ne pourra jamais être ratifié sans être accompagné de réformes législatives aux Etats-Unis, sans quoi l’adéquation des exigences européennes en matière de protection ne pourra être atteinte.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[2]Institut national de la consommation, « Loi pour une République numérique : tableau synthétique », septembre 2017, https://www.inc-conso.fr/content/loi-numerique-tableau-synthetique
[3] P. Türk, « Définition et enjeux de la souveraineté numérique », Vie publique, 14 septembre, 2020, https://www.vie-publique.fr/parole-dexpert/276125-definition-et-enjeux-de-la-souverainete-numerique
[4] Rapport « European Digital Sovereignty », OliverWyman, septembre 2020, https://www.oliverwyman.com/our-expertise/insights/2020/sep/european-digital-sovereignty.html
[5] C. Crichton, « Transfert de données vers les USA : l’arrêt Schrems II », Dalloz Actualité, 22 juillet 2020, https://www.dalloz-actualite.fr/flash/transfert-de-donnees-vers-usa-l-arret-schrems-ii#.Y-IQP62ZM2w
[6] F. G’sell, “How can data sovereignty be preserved after the Privacy Shield has been invalidated?”, SciencesPo, 13 août 2020, https://www.sciencespo.fr/public/chaire-numerique/en/2020/08/13/how-can-data-sovereignty-be-preserved-after-the-privacy-shield-has-been-invalidated/
[7] V. Cimino, « Joe Biden signe un décret pour protéger les données partagées entre les USA et l'Europe », Siècle Digital, 10 octobre 2022, https://siecledigital.fr/2022/10/10/joe-biden-a-signe-un-decret-pour-proteger-les-donnees-partagees-entre-les-usa-et-leurope/
[8] E. Raffin, « Transfert des données entre Europe et USA : nouvelle étape vers un cadre légal », Blog du modérateur, 11 octobre 2022, https://www.blogdumoderateur.com/transfert-donnees-europe-usa-decret-signature/
[9] F. Schmitt, « Transfert des données : l'Europe et les Etats-Unis parachèvent leur bouclier », Les Echos, 7 octobre 2022, https://www.lesechos.fr/tech-medias/hightech/transfert-des-donnees-leurope-et-les-etats-unis-parachevent-leur-bouclier-1867226
[10] M. Pontrucher, « Transfert de données : enfin un accord États-Unis/Europe en vue ? », Digitemis, 28 octobre 2022, https://www.digitemis.com/accord-union-europeenne-etats-unis-transfert-de-donnees/
[11]Principe de proportionnalité, EUR-Lex, https://eur-lex.europa.eu/FR/legal-content/glossary/principle-of-proportionality.html
[12]Déclaration sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18
[13] O. Labruyère, « Transfert de données entre les Etats-Unis et l’UE : Le Bras de fer entre Facebook et la CNIL irlandaise », La Robe Numérique, 16 septembre, 2020, https://www.larobenumerique.com/articles/transfert-de-donnees-entre-les-etats-unis-et-lue-le-bras-de-fer-entre-facebook-et-la-cnil
[14] Cité in O. Labruyère, préc.
[15] A. Vitard, « La CNIL dit non à l'utilisation de Google Analytics », L'Usine Digitale, 10 février 2022, https://www.usine-digitale.fr/article/la-cnil-dit-non-a-l-utilisation-de-google-analytics.N1783687
[16]Google Analytics et transferts de données : comment mettre son outil de mesure d’audience en conformité avec le RGPD ? , CNIL, 7 juin 2022, https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite
[17] K. Lubowicka, « Google Analytics 3&4, est-il conforme au RGPD ? », Piwik Pro, 10 août 2022, https://piwikpro.fr/blog/google-analytics-3amp4-est-il-conforme-au-rgpd/
[18]Questions-réponses sur les mises en demeure concernant l'utilisation de Google Analytics, CNIL, 7 juin 2022, https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics
