SAFE HABOR 2.0 : UN ACCORD POLITIQUE SANS PERTINENCE JURIDIQUE

Publié par le dans | Consulté 29 Fois

La Commission de l’Union européenne et les Etats-Unis d’Amérique se félicitent d’avoir trouvé un accord politique le 2 février 2016 pour encadrer le flux transatlantique des données personnelles des citoyens européens et palier l’insécurité juridique créée par l’arrêt Schrems de la Cour de Justice de l’Union européenne du 6 octobre 2015 qui avait invalidé l’accord du Safe Harbor. Au regard de la réalité que cet accord implique, la joie semble cependant prématurée.

La problématique des données personnelles au coeur des préoccupations des acteurs juridiques et commerciaux

Le G29 constitué des CNIL européennes a salué l’obtention d’un accord, mais se réserve le droit de l’analyser, afin de vérifier s’il respecte les garanties européennes essentielles, mises en exergue par la jurisprudence européenne. Celles-ci sont au nombre de quatre.

Tout d’abord, les traitements doivent reposer sur des règles claires, précises et compréhensibles. C’est à dire que toute personne doit être informée du transfert de ses données et capable de comprendre ce qui en est fait. Ensuite, il faut démontrer la proportionnalité au regard des finalités poursuivies par la collecte ou l’accès des données et donc trouver un équilibre entre ces finalités et les droits des individus. S’ajoute l’obligation de la mise en place d’un mécanisme de contrôle indépendant disposant des capacités juridiques nécessaires afin d’effectuer des contôles effectifs sur le respect de ces obligations. Enfin, un recours effectif doit être mis à la disposition des citoyens, pour qu’ils soient en mesure de défendre leurs droits devant un organe indépendant.

Les géants du numériques comme Google, Facebook ou Twitter n’ont pas attendu cet accord politique pour tout du moins commencer à respecter ces obligations synthétisées par le G29 dans la mesure où ils se sont efforcés de rendre leurs « conditions de confidentialité » plus lisibles et mieux structurées, détaillant tous les types de données collectées et l’emploi qui pourra en être fait. Ces mesures ne sont cependant pas la conséquence d’une bonne volonté, mais de la bienveillance des CNIL européennes qui ont pris le relais en l’absence d’effectivité du Safe Habor. Pour prendre l’exemple de la France, la CNIL a mis en ligne des directives destinées aux entreprises afin qu’elles soient initiées par rapport aux contraintes qu’elles doivent respecter dans le cadre de la collecte et du traitement de données. Un jour après, elle a par ailleurs décidé de mettre en demeure publiquement la société Facebook de se conformer dans les trois prochains mois à la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.

Mais la CNIL n’est pas la seule à tenter d’encadrer les géants du net et de faire respecter la loi française et européenne, puisque la Cour d’appel de Paris a confirmé le 12 février dernier l’ordonnance du TGI de Paris du 5 mars 2015 qui énonçait que l’utilisateur de Facebook France est réputé être un consommateur. La Cour a ensuite validé la décision selon laquelle le régime des clauses abusives s’appliquait aux Conditions Générales de Vente de Facebook France. Ainsi la clause imposant un tribunal californien pouvait être jugée comme abusive. Le droit de la consommation s’applique par conséquent pleinement et vient s’ajouter au droit des données personnelles pour protéger les internautes français.

Un accord sans valeur contraignante ne permettant pas de répondre à la problématique

Il n’en demeure cependant pas moins qu’au regard du champ d’application trans-frontalier et plus simplement mondial d’internet, cet armement juridique est insuffisant, puisqu’il ne s’applique pas aux sociétés non-européennes, qui peuvent continuer le transfert de données de l’Europe vers les Etats-Unis par le biais de simples clauses contractuelles. C’est toute la raison d’être de l’ancien accord « Safe Harbor » de 2000 et du « Privacy Shield » dont il est question aujourd’hui et dont la commission se félicite. Et bien qu’il serait louable d’arriver à un accord garantissant les quatre éléments sus-mentionnés face aux géants états-uniens, celui du 2 février 2016 est loin de remplir cette condition.

Tout d’abord est-il nécessaire de souligner qu’il s’agit d’un accord « politique » sans aucune valeur juridique. C’est à dire que les acteurs se sont mis d’accord sur des grandes lignes après plus de cinq mois de négociations suite à l’arrêt de la Cour de Justice de l’Union Européenne. Cet accord est basé sur des « lettres » émises par des hauts responsables du gouvernement états-uniens. Les commissaires se félicitent que les garanties, notamment du directeur du renseignement national américain, aient été rendues par écrit. Or ces garanties ou des garanties similaires ont déjà été rendues par voie orale dans le passé. Le fait de les avoir émises par écrit cette fois-ci n’empêchera pas les gouvernants états-uniens de procéder de la même manière que dans le passé, c’est à dire de les ignorer. Les commissaires font preuve d’un certain niveau de naïveté d’autant plus qu’aucune mesure légale ne sera prise par le Congrès américain pour réduire la surveillance de masse. Cela dit, en politique, la naïveté ne fait souvent que cacher l’hypocrisie. Il est fort probable que la Commission souhaite uniquement garder la face.

En tout état de cause est-il prématuré de parler d’accord alors que commence à présent la phase de rédaction qui va également faire l’objet de modifications en raison de désaccord entre les parties. Il faudra d’ailleurs attendre trois mois pour la rédaction de la première version du texte.

Il convient de également de rappeler que les parties aux négociations ne sont pas seulement les responsables gouvernementaux états-uniens ou communautaires, mais également les lobbyistes des GAFA (Google Apple Facebook Amazon Twitter). Cela accentue le caractère politicien des négociations dont les enjeux sont loin des intérêts des internautes. Les Etats-Unis et les GAFA ont certainement imposé que certaines obligations et garanties soient réduites ou tout du moins plus nuancées. Une question serait celle de savoir si des concessions ont été faites en échange de promesses relatives au traité transatlantique dont l’impact positif sur l’économie européenne et la souveraineté des Etats est discutable.

La probabilité d’un nouveau recours devant la CJUE

Avant même qu’un texte juridique n’ait été présenté, Max Schrems a indiqué qu’au regard des éléments contenus dans cet accord politique, un recours devant la CJUE sera fort probable puisque les garanties du droit unioniste ne seront pas, selon lui, suffisamment respectées.

Il est vrai que la création d’un médiateur spécial, rattaché au ministère des affaires étrangères états-unien ou l’attribution au Département états-unien du commerce de la compétence de contrôler que les entreprises respectent leurs obligations, semble être le strict minimum. C’est le cas puisqu’un des arguments ressortant des négociateurs et lobbyistes est celui de se mettre en conformité avec la législation du pays dont le cadre juridique est le moins contraignant. En l’occurrence, il s’agit du droit britannique. Ce raisonnement aboutira à des sanctions de la part de la CJUE, puisqu’il y aura non-conformité avec le droit unioniste.

Il convient à présent d’attendre la rédaction du projet de ce texte en espérant qu’elle ne durera pas aussi longtemps que celle du règlement européen sur le même sujet.

SOURCES

ANONYME, « EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield », europa.eu, mise en ligne le 2 février 2016, <http://europa.eu/rapid/press-release_IP-16-216_en.htm>

ANONYME, « EU US Privacy Shield (Safe Harbor 1.1) “European Commissionmay be issuing a round-trip to Luxembourg” », europe-v-facebook.org, mise en ligne le 2 février 2016, <http://europe-v-facebook.org/PS_update.pdf>

ANONYME, « La clause des CGU de Facebook imposant un tribunal californien est abusive », legalis.net, mise en ligne le 23 février 2016, <http://www.legalis.net/spip.php?page=breves-article&id_article=4908>

ANONYME, « La CNIL met publiquement en demeure FACEBOOK de se conformer, dans un délai de trois moi, à la loi Informatique et Libertés », cnil.fr, mise en ligne le 9 février 2016, <https://www.cnil.fr/fr/la-cnil-met-publiquement-en-demeure-facebook-de-se-conformer-dans-un-delai-de-trois-mois-la-loi>

ANONYME, « EU und USA einigen sich auf Datenschutzabkommen », zeit.de, mise en ligne le 2 février 2016, <http://www.zeit.de/politik/ausland/2016-02/safe-harbor-abkommen-eu-usa-neuregelung-datenaustausch>