Les entreprises doivent-elles s’attendre à plus de rigueur de la part des régulateurs en matière de transferts de données personnelles hors de l’Union européenne ?

Oui, l’environnement doctrinal et contentieux se tend et des enquêtes inquiétantes sont en cours, alors que les régulateurs s’interrogent encore dans des consultations publiques européennes sur la répartition des rôles entre responsable du traitement des données et sous-traitant. Après la décision de la Cour de Justice de l’Union européenne (CJUE) d’invalider le Privacy Shield (arrêt «Schrems II»), le CEPD a publié le 12 août une synthèse des positions de la CJUE, puis, le 11 novembre, de nouvelles lignes directrices sur les garanties supplémentaires à apporter lorsqu’il y a transfert de données. Le 12 novembre, le même CEPD publiait un nouveau modèle de contrat de transfert de ces données que ces garanties supplémentaires devraient compléter. Suivre cette actualité et s’adapter à ces évolutions n’est clairement pas à la portée de toutes les entreprises.

Quid de l’impact sur les outils contractuels existants ?

Les conséquences de l’arrêt «Schrems II» ne se résument pas à l’invalidation du mécanisme de transfert des données du «Privacy Shield» négocié avec les Etats-Unis. Elles impactent l’ensemble des mécanismes de transfert de données instaurés par l’UE depuis 1995. En particulier, les contrats de transfert de données personnelles élaborés par les régulateurs nationaux et adoptés par la Commission européenne. Jusqu’ici, ils garantissaient à quiconque d’offrir une protection adéquate et suffisante en reprenant le modèle de la Commission. Or, là, la donne change. Les régulateurs proposent des garanties complémentaires qui démontrent que ces contrats types sont insuffisants. Les entreprises sont questionnées par des régulateurs qui réagissent à une pression médiatique les urgeant de faire des contrôles. Or, la documentation juridique applicable date d’il y a quelques semaines et la consultation publique sur les critères d’appréciation des répartitions de responsabilités entre un Européen qui veut exporter des données et un prestataire américain qui va les recevoir, n’est pas stable. Chaque jour apporte des clarifications supplémentaires plus dures, mais pas plus sûres en termes de lisibilité. Il faut donc compléter des instruments contractuels modélisés mais insuffisants car on leur demande d’avoir des effets juridiques effectifs supérieurs aux lois. Voilà où nous conduit le conflit de souverainetés qui se joue entre des logiques de régulation différentes, notamment sur la «privacy».

Que devront faire les entreprises concrètement ?

Elles devront apporter la preuve que le droit de recours prévu en matière de libertés individuelles existe dans des Etats tiers, y compris en matière de sûreté intérieure et de lutte contre le terrorisme. Or, le RGPD en vigueur prévoit que la Commission européenne est responsable de l’évaluation du caractère adéquat des lois étrangères de protection de la vie privée. Jamais il n’a été envisagé par le législateur européen qu’il faille vérifier si les lois de surveillance nationales sont «RGPD compatibles» puisque par définition, elles créent des mécanismes d’exception par rapport aux lois sur le respect de la vie privée. On entend imposer aux entreprises européennes de se positionner désormais sur les pouvoirs extraterritoriaux conférés aux agences américaines de renseignement par, d’une part, le Freedom Act qui faisait suite au Patriot Act, et d’autre part, le Cloud Act qui permet de faire de la perquisition numérique dans le monde, dès lors qu’un fournisseur américain de services fournit une prestation. Cependant, les entreprises européennes n’ont pas vocation à avoir un avis politique sur la constitutionnalité transverse et mondiale d’un mécanisme de surveillance. Si quelques grandes entreprises ont les moyens d’analyser cette difficulté, elles n’ont cependant pas le pouvoir de lui trouver des solutions. Par exemple, pour mettre fin à un contrat commercial d’infrastructure de cloud, il faut parfois deux à trois ans pour organiser des sorties et la transition. Les petites entreprises sont plus agiles, mais le coût d’acquisition de solutions logicielles innovantes ne doit pas être trop élevé pour préserver leur compétitivité. La proposition de règlement sur la gouvernance des espaces européens de données présentée le 25 novembre par le commissaire européen Thierry Breton, évite soigneusement de s’embourber dans le débat complexe des transferts de données personnelles et se saisit d’enjeux de souveraineté numérique et de compétitivité économique dans l’innovation. Cette stratégie peut se comprendre pour permettre à cette initiative politique d’avancer sans devoir régler en même temps les imbroglios liés aux transferts de données personnelles.