Avis des CNIL européennes sur le Privacy Shield : « en progrès, peut mieux faire, il faut poursuivre les efforts »
Wednesday 20 April 2016 CIL Consulting Visit source websiteC’est un avis[1] éclairé et très « diplomatique » qu’a rendu le G29 en date du 13 avril 2016, sur le « bouclier » proposé par les États-Unis et l’Union Européenne et visant à encadrer les flux transatlantiques de données à caractère personnel.
L’avis du Groupe des CNIL européennes se fonde sur un argumentaire juridique détaillé abordant point par point, l’ensemble des sujets évoqués par le Privacy Shield. L’avis se base non seulement sur les textes de protection des données, de la vie privée et des droits et libertés fondamentaux mais aussi sur la jurisprudence de la CJUE et notamment sur la décision rendue dans l’affaire Schrems[2].
Le groupe de travail a d’autre part émis un document traitant des « Garanties essentielles [3]», sorte de « standard européen pour encadrer les activités de renseignement et de surveillance par les autorités publiques »[4].
L’avis évite soigneusement de prendre position sur les autres instruments juridiques à savoir lesBinding Corporate Rules et les Clauses Contractuelles Types.
A travers cette analyse poussée, le G29 met en lumière l’immaturité du Privacy Shield et les conséquences que cela pourrait avoir.
Sur la forme
Le Privacy Shield est un texte trop complexe, qui manque de clarté et de définitions. La notion d’« accès aux données » par exemple ne correspond pas à l’interprétation qu’en donnent les européens ; les traitement de « données sensibles » dans le cadre du droit du travail américain sont contraires aux dispositions de l’article 8 de la Directive 95/46.
En outre, ce texte ne permet pas a prima facie de garantir un recours aux résidents de l’Union européenne de nationalité étrangère ni aux citoyens et résidents des pays de l’EEA et de la Suisse.
Par conséquent, le G29 estime qu’il faudrait un lexique de terminologie.
Le Groupe de travail regrette également que la Commission n’ait pas mené d’analyse globale sur les points suivants avant de rendre sa décision d’adéquation :
– La loi américaine sur la sécurité nationale et les engagements du gouvernement américain,
– La réglementation de protection de la vie privée aux Etats Unis,
– Les relations entre les transferts encadrés par le Privacy Shield et ceux encadrés par d’autres outils tel que la directive PNR et le TFTP (Accord SWIFT).
Sur les aspects commerciaux
Le Privacy Shield occulte certains principes fondamentaux de protection des données
Aucun document n’aborde le principe de finalité spécifique et de limitation de la conservation des données ; les organisations pourraient donc conserver les données même si elles n’adhéraient plus au Privacy Shield.
Il n’est pas prévu non plus de sauvegarde contre les décisions automatiques destinées à évaluer les caractéristiques d’une personne concernée.
Le G29 précise que la possibilité pour une entité de transférer des données pendant une « période d’intérim » de sept mois vers un destinataire qui ne respecte pas encore l’ensemble des principes du Privacy Shield serait contraire à la directive.
Les autorités européennes rappellent ensuite que le transfert intra-groupe des données doit être juridiquement encadré en tant que traitement ultérieur ; or les « autres instruments intra-groupes » prévus par le Privacy Shield n’ont pas de caractère contraignant.
Le G29 ajoute que les sous-traitants certifiés, dont la définition en droit européen diffère de celle du droit américain, ne pourraient pas être soumis aux mêmes obligations que les responsables de traitement certifiés.
L’interprétation erronée de certains principes fondamentaux
Le principe « Notice and Choice » ne garantit pas la proportionnalité du traitement.
Les autorités européennes craignent aussi que les exceptions portant sur les traitements à des fins de journalisme aient un impact sur le droit au déréférencement.
Le G29 critique la complexité de recours inopérants et demande à ce que les personnes puissent exercer un recours au sein de l’UE. Le rôle du Département du Commerce se réduit en effet à une simple vérification de la complétude du dossier sans vérification du respect des principes du « Bouclier ». Une organisation certifiée pourrait donc violer ses engagements pendant des mois avant que l’on puisse s’en apercevoir.
Les autorités européennes de protection des données remarquent aussi qu’il n’y a pas de définition claire des pouvoirs d’investigation sur site des autorités américaines, ni des modalités d’exequatur des décisions rendues par les autorités européennes en cas de violation des principes.
Concernant l’anonymisation des données, les autorités européennes rappellent que des données agrégées n’excluent pas une éventuelle ré-identification et qu’à ce titre elles doivent être regardées comme des données à caractère personnel.
Il en va de même des données codées traitées dans le secteur de la recherche médicale et dont les traitements sont exclus du Privacy Shield. Par conséquent, le G29 demande à ce qu’il soit précisé que ces transferts doivent être encadrés par des règles internes de groupe (BCR) ou par des Clauses contractuelles types de la Commission Européenne.
Contrairement à la législation européenne, le groupe de travail relève que les transferts ultérieurs de données sensibles vers des organismes publics ne sont pas couverts par le Privacy Shield. A ce sujet, le G29 s’étonne d’ailleurs qu’un traitement à des fins de « marketing » puisse être cité comme exemple de transfert de données à des fins de recherche scientifique.
Pour ce qui a trait au secteur privé, le groupe de travail estime nécessaire de réduire voire de supprimer le nombre des exceptions permettant de s’affranchir du respect des principes en cas d’obligations réglementaires, tout particulièrement pour le suivi (tracking) des patients dans le secteur médical et pharmaceutique.
Sur la sécurité nationale et les services répressifs
Renseignements et surveillance
La protection des données et de la vie privée ne sont pas des droits absolus. Afin d’évaluer le niveau d’ingérence des autorités dans une société démocratique, le G29 a choisi de vérifier quatre critères tirés de la jurisprudence de la Cour de Justice et de la Cour européenne de droits de l’Homme :
- La conformité avec la loi et la possibilité d’ingérence doit être définie par des règles claires, précises et accessibles (prévisibilité de la loi) ;
- La nécessité et la proportionnalité ;
- L’existence d’un mécanisme indépendant de contrôle,
- et de moyens de recours effectifs.
Le Groupe de travail observe que les mesures encadrant les activités de renseignement ne permettent pas de répondre aux critères précités et d’empêcher la collecte massive et indiscriminée de données.
Le PPD 28 traite des activités de renseignements sans que cette notion ne soit définie dans aucun texte.
La portée de la section 702 du FISA reste confuse ; elle permet toujours de collecter des données de non américains pour des activités de renseignements, notion qui concerne de manière générale les affaires étrangères au pays ; cela concerne les fournisseurs de services de communications électroniques situés aux Etats-Unis. Outre les individus, cela concerne les organisations, les groupes, les entités…
Le G29 se réserve la possibilité de se prononcer plus tard sur la proportionnalité de la surveillance de masse après que la Cour de justice ait rendu ses décisions dans les affaires Canada PNR[6] et Secretary of State Home Department c. Davis[7].
Pour finir, le G29 constate qu’il n’existe pas d’autorité fédérale en charge de contrôler les activités de renseignement et de surveillance qui répondent aux critères d’indépendance tels que définis par la CJUE.
Les services répressifs
Les récentes affaires concernant l’accès aux données chiffrées dans l’IPhone et à la communication des données hébergées par Microsoft Ireland[8] sont là pour nous rappeler que l’accès aux données n’est plus réservé aux autorités de renseignement et de surveillance.
Sur ce point, le G29 rappelle que les mesures de sauvegardes offertes par le 4ème amendement de la Constitution en cas d’accès aux données par les services répressifs ne sont pas applicables aux non-américains.
Conclusion
Finalement, tout au long de l’avis et à maintes reprises, les autorités européennes se sont attachées à rappeler que le Privacy Shield traduisait une réelle amélioration et une avancée vers un mécanisme de protection adéquate.
Malgré cela, le Privacy Shield ne saurait répondre à ce stade aux exigences du droit européen, des droits fondamentaux ou de l’arrêt Schrems.
Isabelle Falque Pierrotin précise néanmoins que le G29 n’ayant pas pris position sur les autres instruments juridiques, les CNIL européennes considèrent que les transferts peuvent toujours se fonder sur des Binding Corporate Rules ou des Clauses Contractuelles Types.
Rappelons pour terminer que l’avis du G29 ne lie pas la Commission Européenne. Toutefois, face à de tels arguments et sans préjuger des risques de voir le nouvel accord transatlantique invalidé par la CJUE, la Commission pourra difficilement éviter d’en tenir compte avant de rendre a décision courant juin.
(Article co-écrit avec Cody Olson, juriste @CILCONSULTING)
[1] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
[2]http://curia.europa.eu/juris/document/document.jsf?text=&docid=172254&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=1262679
[3] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp237_en.pdf
[4] Conférence de presse d’I.Falque Pierrotin, Présidente du G29
[6] CJUE, Affaire A-1/15
[7] CJUE, affaires jointes C-203/15 et C-698/15
[8] Microsoft Corporation v. United States, U.S. 2nd Ct. Appeals, 2nd Circuit, 14-985CV