Le Safe Harbor est mort ! Vive le privacy shield ? Le cadre juridique de la collecte et du traitement des données à caractère personnel en entreprise n’a pas, hélas, le caractère automatique des règles de succession monarchique. En attendant le privacy shield, les entreprises sont dans une zone grise qui requiert de revenir aux fondamentaux.
Quelles données personnelles en entreprise?
Dans le cadre de leurs activités, les entreprises sont susceptibles de procéder à une collecte et aux traitements de données à caractère personnel de leurs clients et de leurs salariés. L’entreprise à l’origine d’un tel traitement est considérée par la loi comme étant responsable du traitement.
Pour illustration : les logiciels de gestion des ressources humaines, de gestion de la paie, les badgeuses, les fichiers clients et fournisseurs, l’intranet de l’entreprise, les annuaires téléphoniques internes, les adresses de messageries professionnelles etc. comportent la plupart du temps des éléments d’identification (nom, prénom, numéro de sécurité sociale), et sont donc susceptibles d’être caractérisées de données personnelles.
7 grands principes à respecter en Europe
Qui dit données personnelles, dit protection et procédures particulières imposées par l’Union Européenne au travers, en particulier, de la directive 95/CE et, désormais, du nouveau règlement européen du 8 avril 2016. Celui-ci entrera en vigueur en 2018.
C’est ainsi que les données à caractère personnel doivent respecter certains grands principes :
- la finalité du traitement : l’usage des données personnelles doit être déterminé et légitime ;
- la proportionnalité du traitement : seules doivent être traitées des données pertinentes et nécessaire à leur finalité ;
- une durée limitée de conservation des données personnelles ;
- la sécurité et la confidentialité des données ;
- le droit à l’information des personnes dont les données sont traitées ;
- le droit d’accès et de rectification des informations erronées ;
- le droit d’opposition accordé aux personnes dont les données sont collectées pour motifs légitimes.
Impact sur le choix du prestataire technique
Ces données nécessitent donc une vigilance accrue, en particulier, dans le choix du prestataire technique qui sera désigné par l’entreprise pour faire héberger lesdites données. On pense, notamment, au Cloud.
L’hébergement des données ne pose aucune difficulté dès lors que lieu où les données seront traitées est situé dans un pays de l’Union européenne. S’il s’agit d’un pays tiers, celui-ci doit disposer d’un niveau de protection équivalent.
Le débat qui fait couler beaucoup d’encre et qui inquiète le monde des affaires se porte à ce jour sur les Etats Unis, en tant que pays tiers. Peut-on transférer, sans crainte, des données personnelles vers le territoire américain tout en étant en accord avec la législation européenne ?
Le transfert vers les USA: quelle conformité
Le 26 juillet 2000, la Commission européenne et les autorités américaines avaient négocié un document, appelé « Safe Harbor » (en français « sphère de sécurité ») qui contenait des principes censés garantir un niveau de protection suffisant des données personnelles appartenant aux ressortissants de l’Union européenne, transférées aux Etats Unis.
Le Safe Harbor prévoyait, notamment, des dispositions portant sur la sécurité des données, l’information des personnes, les droits d’accès et de rectification des données, la possibilité pour les personnes concernées par le transfert de s’opposer à un transfert ou à une utilisation des données pour des finalités différentes, le consentement explicite pour les données sensibles.
Ainsi, les clients ressortissants de l’Union Européenne qui souhaitaient bénéficier d’un service d’hébergement de données personnelles situé sur le territoire américain devait vérifier, au préalable, si le fournisseur d’hébergement faisait partie des près de 4 000 entreprises américaines adhérentes au Safe Harbor. Or, la Cour de justice de l’Union Européenne a considéré le 6 octobre 2015 que le Safe Harbor ne présentait pas de garanties suffisantes, d’où son invalidation, qui n’a nullement laissé place à ce que d’aucuns appelaient « un vide juridique », mais a complexifié les relations d’affaires entre l’Europe et les Etats Unis.
Dénoncer les contrats en cours…
Les entreprises soumises à la législation européenne et qui ont confié l’hébergement des données personnelles sur le territoire transatlantique se doivent de renégocier leurs contrats de prestations informatiques afin d’assurer aux données hébergées un niveau de protection suffisant soit par le biais de Clauses contractuelles types, soit par le biais de Binding Corporates Rules(cf. ci-après).
Il est donc recommandé de dénoncer les contrats en cours et d’en renégocier les termes relatifs à la prestation portant sur les données.
Les contrats à venir : les points de vigilance du Daf
Un document, toujours à l’état de projet, négocié entre la commission européenne et les autorités américaines appelé « Privacy Shield » (« bouclier de protection » en français) était censé remplacer le Safe Harbor en comblant ces lacunes.
Or, suite à l’avis du G29 (Groupe de travail regroupant les « CNIL » européennes) rendu le 13 avril 2016, la substitution du Safe Harbor n’est qu’à mi-parcours (voir encadré A savoir).
Ni le « Safe Harbor » ni le « Privacy Shield » ne sont donc suffisants.
Les entreprises soumises au droit de l’Union Européenne sont donc dans une « zone grise » dans le cas où elles souhaiteraient recourir à un transfert de données sur le territoire américain.
Pour ce faire, notre préconisation est de privilégier les partenaires commerciaux situés au sein de l’Union Européenne, ou à tout le moins, situés dans un pays considéré comme assurant un niveau de protection équivalent.
Nous savons que les opérateurs de taille mondiale et de nationalité américaine sont désormais devenus incontournables dans l’hébergement et le traitement de nos données. Cela ne doit pas excuser un « laisser faire » de la part des directions administratives et financières des entreprises françaises car le non-respect de la règlementation française et européenne par un responsable de traitement engage la responsabilité pénale de l’entreprise et de ses dirigeants.
Aussi, il est vivement conseillé de systématiser le recours aux clauses contractuelles types qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne ou de mettre en place des binding corporate rules qui sont des codes de conduite interne à une entreprise ou à un groupe qui définit la politique en matière de transferts de données personnelles hors de l’Union européenne permettant de garantir un niveau de protection suffisant aux données.
Le pourquoi de l’invalidation par la CJUE du Safe Harbor
La Cour de justice de l’Union Européenne (CJUE) a considéré le 6 octobre 2015 que le Safe Harbor ne présentait pas de garanties suffisantes, soit plus de 15 ans après sa mise en place !
Etait en cause :
- les pratiques de surveillance des Etats-Unis, qui permettaient une collective massive et indifférenciée des données ;
- la faculté pour les autorités américaines d’écarter le Safe Harbor en raison de la sécurité nationale (soit, en particulier, la lutte contre le terrorisme).
LE PRIVACY SHIELD : peut mieux faire
Le Privacy Shield, publié depuis février 2016, composé de nombreux documents, prévoit les grands principes que devront respecter les entreprises américaines (et, en particulier, les fournisseurs d’hébergement) pour présenter des garanties de protections suffisantes au profit des personnes dont les données sont collectées :
- « Notice Principle »: information complète et transparentes sur la collecte et les traitements des données ;
- « Choice Principle »: possibilité de s’opposer à la transmission des données et nécessitée d’un consentement expresse en cas de transfert des données sensibles ;
- « Security Principle » : contraintes de sécurité auxquelles devront se conformer les entreprises américaines ;
- « Data Integrity and Purpose Limitation Principle » : respect de la finalité du traitement : les données transférées ne doivent pas être utilisées dans un but autre que celui consenti par la personne concernée;
- « Access principle »: droit d’accès aux Données dans un délai raisonnable ;
- « Accountability for Onward Transfer Principle »: obligation d’encadrer, par contrat, la revente ou le transfert des données par le responsable du traitement au profit d’un tiers lequel sera soumis aux mêmes obligations que le responsable du traitement en vertu du Privacy Shield ;
- « Recourse, Enforcement and Liability Principle »: des moyens de recours sont offerts aux citoyens européens dont les données sont collectées ou traitées en violation du Privacy Shield.
Les améliorations attendues
Selon le G29 donc, le Privacy Shield n’apporte pas un niveau de protection équivalent à celui prévu au sein de l’Union Européenne. Parmi les « reproches »:
– Les définitions relatives à la protection des données prévues dans la loi européenne ne sont pas similaires à celles utilisées dans le Privacy Shield lequel propose des notions alternatives. Par exemple, le principe relatif à la finalité du traitement qui est, selon le G29, imprécis.
-De même, les voies de recours telles que prévues ne s’exerceraient qu’en anglais et sont donc jugées, par le G29 comme impraticables.
– Surtout, la collecte des données de manière massive et indiscriminée reste possible pour des raisons de sécurité nationale
Le G29 a donc invité la Commission Européenne à apporter des clarifications et à résoudre les difficultés relevées.
***
Les auteurs
François-Pierre Lani, associé, et Naomie Mopsik, collaboratrice au cabinet Derriennic Associés
Derriennic Associés, cabinet français indépendant et pionnier dans le domaine des nouvelles technologies, développe, depuis plus de trente ans, une ligne de services complète auprès d’une clientèle prestigieuse composée de grands groupes, utilisateurs de solutions informatiques mais aussi de fournisseurs informatiques et d’éditeurs. Les principales activités du cabinet s’articulent autour des pôles droit de l’informatique, notamment sur toutes les questions liées à la protection des données personnelles, droit de la propriété intellectuelle, droit social, droit des marchés publics appliqués au secteur de l’informatique.
