Le GDPR et le grand méchant Tafta

Le GDPR et le grand méchant Tafta

Le nouveau règlement européen sur la protection des données personnelles (GDPR) vient d’être adopté en mai dernier et entrera en vigueur en 2018. Remplaçant la directive européenne de protection des données personnelles de 1995, il adapte les exigences aux enjeux soulevés par les nouvelles technologies ces vingt dernières années et formalise plusieurs nouveaux droits intéressants comme le droit à l’oubli, le droit à la portabilité des données ou le droit à la limitation du traitement. Il inscrit la problématique de protection des données personnelles au cœur de la gouvernance des entreprises qui doivent désormais s’assurer de leur conformité en tout temps et à toutes les étapes de leur développement : approche par les risques, analyses d’impact, « privacy by design », et notification des violations de données. Alors qu’il représente une avancée significative dans le domaine, et qu’il serait utile d’en faire la promotion, on peut regretter que certains commentateurs français omettent d’y faire référence dans leurs tribunes pourtant consacrées à la défense des droits des citoyens en matière de protection des données personnelles.

C’est ainsi que dans la lutte contre le Traité transatlantique (Tafta), des articles fleurissent dénonçant les dangers des transferts incontrôlés de données vers les Etats-Unis qui seraient prévus dans le Traité. Ces articles volontairement alarmistes, loin d’informer les citoyens sur les tenants et aboutissants du sujet se contentent de marteler que le Traité met en danger le domaine de la protection des données personnelles et passent sous silence l’existence du règlement européen de protection des données personnelles et la force de frappe qu’il représente.

Les transferts de données outre-Atlantique, un phénomène nouveau ?

Présenter la possibilité de transferts incontrôlés et sauvages des données personnelles de citoyens européens vers les Etats-Unis comme une nouveauté introduite par le Traité relève d’une opération de désinformation. D’abord parce que ces transferts existent depuis longtemps et que la majorité des données est déjà stockée en-dehors de l’Europe. D’autre part, parce que, même s’ils sont perfectibles, plusieurs dispositifs existent déjà pour assurer que les transferts de données vers des pays hors UE ne reviennent pas à diminuer le standard de vie privée des individus. Parmi eux :

  • les règles d’entreprise contraignantes (« BCR » : binding corporate rules) devant être validées par la CNIL en France ;
  • les décisions d’adéquation prises pour certains pays (ex : Canada), reconnaissant le même niveau de protection des données personnelles dans ces pays que dans l’UE.

Pour compléter ces dispositifs, la conclusion d’un nouvel accord a eu lieu pendant l’été 2016 : le Privacy Shield pour encadrer les transferts EU-USA. Il fait suite au précédent accord : le Safe Harbor invalidé en octobre 2015 par la Cour de justice de l’Union européenne (CJUE). N’importe quel internaute a pu en être informé récemment puisque la mise en œuvre du Privacy Shield a imposé aux entreprises de revoir leurs politiques de gestion des données personnelles et d’indiquer clairement qu’elles transfèrent les données à l’extérieur de l’UE, en respectant les exigences du Privacy Shield ou tout autre dispositif agréé.

Que prévoit le règlement européen pour protéger les transferts de données personnelles ?

Lors de son entrée en vigueur en mai 2018, le nouveau règlement européen opérera un renforcement de la protection des données personnelles par rapport à la directive de 1995. Les transferts de données hors UE seront aussi soumis à ses exigences puisque l’article 3§2  formalise l’extraterritorialité de toutes ses dispositions : « Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

  1. à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  2. au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.»

Donc, quelle que soit l’origine géographique de l’entreprise qui traite les données personnelles de citoyens européens (à titre lucratif ou non), elle tombera sous le joug des exigences du règlement européen. Il est fondamental de marteler ce message et de s’en convaincre : le règlement européen est un outil puissant sur lequel l’UE pourra s’appuyer dans ses rapports de force avec ses partenaires économiques. La guerre psychologique sur ce sujet a déjà des effets concrets : grâce à l’action de citoyens européens et de la CJUE, l’accord bancal Safe Harbor a dû être révisé et remplacé en moins d’un an. Durant cette période (octobre 2015 à juillet 2016), une véritable incertitude a régné sur la légalité des transferts de données en cours. Pourtant, à peine entériné, l’accord Privacy Shield est déjà menacé d’être poursuivi en justice car, même s’il représente un progrès par rapport au précédent accord, il ne garantirait pas encore le même niveau de protection que les standards européens actuels. De cette situation d’incertitude résulte que les entreprises américaines semblent moins nombreuses à adopter le Privacy Shield que le Safe Harbor et se tournent de plus en plus vers des dispositifs alternatifs leur paraissant plus robustes et plus complets par rapport à la législation européenne, comme les BCR. D’autre part, de plus en plus d’acteurs majeurs décident d’implanter en Europe de centres de stockage des données des citoyens européens : Amazon, Microsoft, Google,… tendance, qui, si elle se poursuit, pourrait rendre stériles les discussions sur l’applicabilité de l’extraterritorialité du règlement européen de protection des données sur les transferts des données hors UE dans le futur.

Au-delà de la promotion qu’en font les dirigeants européens, le règlement européen sur la protection des données personnelles devrait être systématiquement mis en avant par nos responsables nationaux. Omettre de promouvoir le règlement européen, revient à dénigrer l’action européenne alors qu’elle a considérablement avancé dans le domaine de la protection des données personnelles dont l’Europe est le leader mondial incontesté. Or justement ce règlement aura la force que les dirigeants et citoyens européens voudront bien lui donner. D’ailleurs, difficile d’imaginer qu’après un processus d’élaboration aussi long (2012-2016), les responsables européens soient prêts à évincer ce règlement alors qu’il n’est même pas encore en application, à moins d’être un adepte de la théorie du complot et de la soumission totale des instances dirigeantes de l’UE aux puissants lobbies américains.

L’affirmation de la préséance du règlement de protection des données personnelles

Une démarche positive et constructive de nos dirigeants nationaux, relais locaux indispensables des décisions européennes devrait dont être de clamer haut et fort la nécessaire préséance du règlement de protection des données personnelles sur toutes les négociations que mène l’UE avec ses partenaires, quel que soit le domaine concerné. Car la vraie question est donc celle de la possibilité ou non de contourner les dispositions de protection actuelles et les futures exigences prévues dans le règlement européen par certaines dispositions du Tafta. Certes, le domaine de la protection des données personnelles est exclu du mandat de la Commission européenne dans la négociation du Tafta. Cependant, cette exclusion est assez théorique puisque le sujet du transfert des données est au cœur des discussions et qu’il a forcément des répercussions sur le domaine de la protection des données personnelles. Or, ces négociations, nous disent les commissaires européens, ne peuvent aboutir à diminuer les standards de protection des citoyens européens. Ainsi, quelles que soient les décisions prises sur la gestion des flux de données EU-USA, ceux-ci devraient par défaut respecter les exigences de la norme européenne en la matière, à savoir le règlement européen qui impose le même niveau d’exigence sur les transferts de données vers des pays tiers que sur la gestion au sein de l’UE. On y retrouve, en effet, les mêmes outils qu’actuellement, aux articles 44 à 47 :

  • Règles d’entreprise contraignantes,
  • transferts fondés sur une décision d’adéquation, et
  • transferts moyennant des garanties appropriées.

Le Privacy Shield relève du troisième cas. Outre la révision annuelle à laquelle il est prévu qu’il soit soumis en juillet 2017, il devra donc être révisé pour être mis en conformité avec le règlement le 25 mai 2018.

Afin de lever tout doute, il serait nécessaire d’obtenir des négociateurs européens qu’ils inscrivent formellement dans le Tafta la suprématie du règlement européen sur la protection des données personnelles en toutes circonstances. Mais comme il serait sans doute fastidieux de recenser l’ensemble du corpus normatif européen auquel le Tafta ne devrait pas déroger, il conviendrait sans doute de procéder à l’inverse en ne citant que les cas de dérogations et en bannissant toute dérogation visant à diminuer le standard européen de protection des données personnelles. Il faut aussi veiller à ce que par d’autres biais, les normes européennes ne soient pas contournées, comme par les mécanismes d’arbitrage privé et de coopération réglementaire qui étaient initialement prévus dans le Traité et qui ont cristallisé les oppositions. C’est sous cet angle d’attaque que devrait se situer les commentateurs du sujet des conséquences du Tafta sur la protection des données personnelles des citoyens européens.

Et, si, malgré tout, des doutes subsistaient ?

Actuellement les négociations sur le Traité semblent au point mort et les prochaines  élections présidentielles américaines pourraient entraîner de nouveaux cycles de négociation. Mais, même si le Traité aboutissait enfin et que des incertitudes subsistaient sur les possibilités qu’il offre de se soustraire aux exigences du règlement de protection des données personnelles, on peut se demander si les entreprises chercheront vraiment à s’en prévaloir. Cela pourrait, en effet, constituer un pari risqué puisque les pénalités prévues dans le règlement pourront se monter au maximum à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent d’une entreprise. Les analyses de risques conduites dans les entreprises pourraient conclure à la nécessité de suivre les prescriptions du règlement européen de protection des données, en raison de la menace financière constituée par les amendes de l’UE, les coûts liés aux contentieux, le risque réputationnel et le coût de remise en conformité enfin si le règlement l’emporte. En effet, les exigences du règlement imposent de vérifier que l’ensemble des processus de l’entreprise sont en conformité, et notamment que tous les systèmes informatiques sont conçus pour respecter les exigences de protection des données personnelles, c’est le fameux « privacy by design ». S’en affranchir volontairement, c’est risquer d’être condamné à revoir le développement de son application de fond en comble, de remodeler complètement son architecture insuffisamment sécurisée, donc des coûts prohibitifs en jeu. C’est pourquoi, certaines entreprises décident de prendre des initiatives en la matière, au-delà de la simple conformité au Privacy Shield (dont elles craignent l’invalidation à l’instar du Safe Harbor). Ainsi, elles vont préférer mettre en place des règles d’entreprises contraignantes afin d’être au plus près des exigences européennes actuelles, voire de se projeter sur la future mise en conformité avec le règlement.

Car, au-delà des sanctions, il est une arme plus redoutable encore, celle de l’atteinte à l’e-reputation. La protection des données personnelles devient un élément marketing incontournable pour les géants du Net et toute atteinte à celle-ci porte un impact durable à l’image de marque de l’entreprise. Les rebondissements actuels de l’affaire de violation des données dans l’entreprise Yahoo ! en sont une belle illustration. En effet, après la découverte du vol en 2012 de 500 millions de comptes utilisateurs (voire plus) rendue publique en août 2016, l’agence Reuters a révélé, mardi 4 octobre, que l’entreprise aurait mis en place en 2015, un vaste système interne de surveillance de ses utilisateurs pour le compte d’une agence de renseignements. Les détracteurs du Privacy Shield pourront rappeler que justement celui-ci ne permet pas d’écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Grâce aux lanceurs d’alerte américains qui ont vraisemblablement révélé cette histoire, l’opinion mondiale est, une nouvelle fois, sensibilisée à la problématique des données personnelles. C’est l’action combinée de ces opérations de sensibilisation très médiatisées, de l’impact désastreux qui en résulte sur l’image de marque des entreprises et l’exemple de la législation européenne leader en matière de protection des données personnelles qui devrait permettre d’atteindre les objectifs de protection voulus par les citoyens européens.  C’est pourquoi il est si important de faire la promotion constante et continue du nouveau règlement européen et d’exiger son application étendue et exhaustive. Après tout, mai 2018, c’est déjà demain alors autant l’intégrer dès maintenant dans ses actes comme dans ses discours.

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *