La faculté de transférer des données au-delà des frontières apparaît comme nécessaire à l’ère du numérique à la fois pour les questions d’échanges internationaux et pour des questions de coopération mondiale.
Le 14 décembre dernier, le premier accord intergouvernemental visant à établir des règles communes relatives aux conditions d’accès aux données personnelles à des fins de sécurité nationale et d’application de la loi a été adopté. Plus largement, cet accord vient réglementer l’accès des pouvoirs publics aux données à caractère personnel qui sont détenues par des entités du secteur privé. Sont visées principalement les grandes plateformes telles que les GAFAM (Google, Amazon, Facebook, Apple, Microsoft).
Effectivement, cet accord dénommé “Declaration on Government Access to Personal Data Held by Private Sector Entities” vise à faciliter les accords internationaux de transferts de données personnelles. L’objectif est de venir harmoniser les réglementations concernant l’accès aux données personnelles par les instances gouvernementales.
L’historique des transferts transfrontaliers des données
Historiquement, entre 1998 et 2015, les transferts de données entre l’Europe et les États-Unis étaient autorisés, étant donné que les réglementations en matière de protection de données étaient considérées comme équivalentes. Ainsi, la libre circulation des données était autorisée.
Finalement, la Cour de Justice de l’Union européenne (ci-après CJUE) est intervenue le 7 octobre 2015[2], invalidant la décision d’adéquation[3], relevant que l’encadrement était insuffisant en ce qui concernait l’accès des autorités américaines aux données personnelles dans le cadre d’opérations de surveillance, de sécurité nationale ou d’application de la loi.
Pour rappel, le mécanisme d’adéquation n’exige pas que l’on reproduise à l’identique les règles de l’Union européenne. Il s’agirait plutôt ici de déterminer si le système étranger offre un niveau élevé de protection pour la protection à la vie et la mise en œuvre des droits des personnes.
Cette décision a donc remis en cause la libre circulation transatlantique des données, et oblige une renégociation des conditions de ces transferts.
Pour cela, le Privacy Shield a eu pour prétention de rétablir la décision d’adéquation en juillet 2016. Cependant, aucune condition supplémentaire n’avait été apportée. À titre d’exemple, le Privacy Shield repose sur plusieurs principes, notamment l’auto-certification par les entreprises. Ainsi, les données peuvent être transférées aux entreprises s’étant auto-certifiées respectant les principes fédéraux du commerce.
Rapidement, la décision d’adéquation par la Commission européenne a été invalidée par la CJUE, le 12 juillet 2016[3].
Finalement, les deux arrêts de la CJUE sont venus démontrer le caractère fondamental de l’harmonisation des règles concernant l’accès aux données personnelles par les autorités gouvernementales dans le cas d’accords transfrontaliers de transferts de données.
Les enjeux liés aux transferts transfrontaliers des données
Le transfert transfrontalier des données est au cœur de nombreuses inquiétudes au sein des différentes populations et les politiques. En jeu, la mondialisation, et l’avènement du numérique qui permettent d’accumuler de nombreuses données par les entreprises privées en ligne.
La protection par les plateformes des données personnelles des utilisateurs est un sujet assez controversé. Ces dernières n’ont pas la réputation d’être des gardes irréprochables sur ce sujet.
Outre la fameuse affaire Snowden, dans laquelle Edward Snowden avait dévoilé l’opération de cybersurveillance de la NSA[1], au détriment de la vie privée des utilisateurs, de nombreuses failles de sécurité peuvent encore être évoquées.
À titre d’exemple, le 18 janvier 2022, une faille importante de Safari, une application propre à la marque Apple, a provoqué la fuite de données personnelles de nombreux utilisateurs des produits de la fameuse marque à la pomme.
Ainsi, cet accord a pour but que les pays membres de l’OCDE respectent les normes et garanties, afin que la circulation des données entre entités publiques assure la confiance des individus et la confiance entre les gouvernements. L’absence d’accord entraînerait le risque de voir s’installer des restrictions injustifiées des flux de données.
Finalement, tout l’intérêt de cet accord historique est double. D’une part, l’intérêt est d’accroître la confiance entre les États démocratiques, afin de « faciliter les flux transfrontaliers de données de caractère personnel entre eux ». D’autre part, il a pour but d’établir une norme générale en la matière, assurant de manière sous-entendue, une certaine protection égale pour tous les systèmes de droit.
“L’accord historique conclu aujourd’hui reconnaît officiellement que les pays de l’OCDE respectent des normes et des garanties communes. Il contribuera à permettre la circulation des données entre les démocraties régies par l’État de droit, avec les garanties nécessaires à la confiance des individus dans l’économie numérique et à la confiance mutuelle entre les gouvernements en ce qui concerne les données personnelles de leurs citoyens”
Secrétaire général de l’OCDE Mathias Cormann
L’accès aux données personnelles par les autorités gouvernementales
Cet accord définit ainsi les conditions autorisant les autorités chargées de l’application des lois et de la sécurité nationale d’accéder aux données à caractère personnel en vertu des cadres juridiques existants.
Finalement, cet accord suppose la réunion d’un effort multilatéral. L’intérêt ici est de définir un langage commun et de faire partager des principes.
Cet accord repose à la fois sur les lignes directrices émises par l’OCDE depuis 1980, mais prévoit aussi des exceptions visant à assurer « la sécurité nationale et l’application des lois »[1].
Ainsi, ce dernier repose sur trois sections :
- L’accès légitime par le gouvernement sur la base de valeurs communes
- Promouvoir la confiance dans les flux transfrontaliers de données
- Des principes pour l’accès des gouvernements aux données de caractère personnel détenues par des entités privées ».
De manière résumée, l’accès aux données personnelles doit être justifié par une base légale édifiée par le droit du pays en question. L’accès doit répondre aux conditions de légitimité, et de transparence, tout en répondant à des règles précises de traitement de données. Par exemple, une fois les données acquises, elles doivent être traitées, manipulées et conservées uniquement par le personnel autorisé selon une procédure encadrée juridiquement.
À cela, des mécanismes de contrôle impartiaux doivent être mis en place afin de garantir le respect des obligations susvisées, notamment l’accès doit être soumis à des obligations d’autorisation préalable, une nouvelle fois selon le cadre juridique.
De manière générale, le cadre juridique doit être transparent et accessible, notamment via un rapport public, et des rapports réguliers des organes de surveillance.
Enfin, il est nécessaire de prévoir des voies de recours pour les individus, afin d’identifier et / ou de remédier a toute violation de règles d’accès du gouvernement concernant leurs données personnelles.
Ainsi, la volonté affichée des trente-huit pays ayant adhéré démontre l’intérêt d’un renforcement et d’une stabilisation des accords en ce qui concerne la libre circulation transfrontalière des données. L’alignement des réglementations a pour but de relancer l’innovation et d’éviter toute insécurité juridique, ainsi que toutes difficultés économiques, notamment dues aux précédentes invalidations par la CJUE présentées plus tôt.
[1] Organisation de coopération et de développement économiques
[2] Arrêt de la Cour (grande chambre) du 6 octobre 2015 – Maximillian Schrems contre Data Protection Commissioner
[3] La Cour déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées
[4] Décision 2016/1250 de la Commission du 12 juillet 2016
[5] National Security Agency
[6] Communiqué de presse – Adoption d’un accord historique sur la protection de la vie privée dans l’accès aux données relatives à l’application de la loi et à la sécurité nationale