Mise en demeure publique de Microsoft par la Cnil

Mise en demeure publique de Microsoft par la CnilMicrosoft a été mise en demeure publiquement par la Cnil en raison de manquements à la Loi Informatique et libertés.

A la suite d’un contrôle effectué au sein de la société Microsoft Corporation de la solution Windows 10, la Commission nationale de l’informatique et des libertés (Cnil) ayant révélé des non-conformités à la loi Informatique et libertés, a mis en demeure publiquement Microsoft de se mettre en conformité à la réglementation dans un délai de 3 mois (1).

Microsoft a lancé son nouveau système d’exploitation Windows 10 au mois de juillet 2015. Alertée par la presse et les utilisateurs d’une possible collecte excessive de données à caractère personnel, la Cnil, désormais détentrice d’un pouvoir de contrôle en ligne depuis la loi Hamon (2), a effectué des contrôles en ligne en avril et juin 2016 et interrogé Microsoft, afin de s’assurer de la conformité de Windows 10 à la loi Informatique et libertés.

Ces contrôles ont révélé des non-conformités.

La non-pertinence et l’excessivité des données collectées

Tout d’abord, concernant la pertinence de la collecte des données de télémétrie, qui sont des données de diagnostic et d’utilisation renvoyées à Microsoft, cette dernière assurait que la collecte avait pour seule finalité l’identification et la résolution de problèmes, et l’amélioration des produits et services. Or, des données relatives à l’utilisation des applications Windows, telles que les applications téléchargées sur le système d’exploitation ou le temps passé sur ces applications, étaient collectées. Or, il ressort de la Déclaration de confidentialité de Microsoft, qui dressait la liste des données collectées, que certaines de ces données n’étaient pas directement nécessaires au bon fonctionnement du système d’exploitation. Par conséquent, la Cnil a considéré que Microsoft se livrait à une collecte excessive en ce que les données n’étaient pas nécessaires au bon fonctionnement du service.

Le non-respect de l’obligation d’information

La loi Informatique et libertés impose également au responsable du traitement d’informer l’utilisateur de la finalité et des moyens d’opposition à toutes actions tendant à accéder, par voie de transmission électronique à des informations stockées ou à inscrire dans l’équipement, comme les cookies ou, en l’espèce, de l’identifiant publicitaire. En ce sens, la Cnil avait déjà eu l’occasion de préciser (3) que le consentement à l’utilisation des cookies doit se manifester par une action positive de l’utilisateur, qui a auparavant été informé des conséquences de son choix. Dans le cas de Windows 10, l’identifiant publicitaire, étant activé par défaut, l’utilisateur n’effectuant aucune action positive l’autorisant. Qui plus est, aucune précision n’est portée à la connaissance de l’utilisateur quant aux moyens disponibles pour s’opposer à cette utilisation, ce qui constitue une autre non-conformité.

Une sécurité insuffisante

La menace présente de fraudes informatiques et de hacking dans une société où toutes les informations sont informatisées, nécessite une sécurité renforcée en matière de protection des données à caractère personnel. C’est pourquoi la loi Informatique et libertés impose au responsable du traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction de leur nature et des risques supposés. Or, Microsoft, en proposant seulement un mot de passe pouvant être constitué de 4 chiffres identiques, en ne mettant en place aucune suspension de l’authentification après 20 tentatives infructueuses de connexion, et en autorisant l’accès à l’ensemble des services en ligne suite à une seule authentification, n’a pas pris toutes les précautions pour préserver la sécurité des données. En effet, un individu, dès lors qu’il a trouvé le mot de passe, et ce même après de nombreuses tentatives, peut avoir accès à l’ensemble des données à caractère personnel, notamment celles contenues dans la messagerie électronique, mais également aux coordonnées bancaires contenues dans le store, ainsi qu’aux informations liées au compte Microsoft.

Transfert illicite de données vers les Etats-Unis

Microsoft a indiqué, dans sa Déclaration de confidentialité, que les données recueillies peuvent être stockées et traitées aux Etats-Unis, conformément aux principes du « Safe Harbor » (« sphère de sécurité »). Or, depuis une décision du 6 octobre 2015 (5) de la Cour de justice de l’Union européenne, il n’est plus possible de procéder à un transfert de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor. En l’absence de base légale pour assurer un niveau de protection suffisant de la vie privée, des droits et libertés des personnes concernées, Microsoft procède donc à des transferts illicites de données hors de l’Union européenne.

A cet égard, il convient de relever qu’un nouveau dispositif, le Privacy Shield, est venu remplacer le Safe Harbor (6).

Quelles conséquences pour Microsoft ?

En raison de ces manquements, la Cnil a mis en demeure publiquement Microsoft de se conformer à la loi Informatique et libertés dans un délai de 3 mois. Cette mise en demeure publique se justifie par le nombre important de personnes concernées, la gravité des manquements et par la taille et le statut de l’organisme.

Il ne s’agit pour le moment que d’un avertissement, mais si Microsoft ne se conforme pas à la loi, elle pourrait être sanctionnée, comme cela a été le cas en Allemagne, où des amendes ont été prononcées à l’encontre de sociétés procédant à des transferts de données vers les Etats-Unis sur la base du Safe Harbor (7).

En attendant la mise en conformité de Microsoft, la Cnil a mis en ligne deux tutoriels permettant de régler manuellement les réglages de confidentialité afin de limiter la communication des informations de l’utilisateur à l’éditeur (8).

Céline Avignon
Anne Renard
Lexing Publicité et marketing électronique

(1) Loi 78-17 du 6-1-1978 ; Cnil, Décision 2016-058 du 30-6-2016 et Délibération 2016-185 du 12-7-2016 décidant de rendre publique la mise en demeure 2016-058 du 30-6-2016
(2) Loi 2014-344 du 17-3-2014 relative à la consommation, art. 105.
(3) Délibération 2013-378 du 5-12-2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs .
(4) Délibération 2013-420 du 3-1-2014 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
(5) CJUE, 6-10-2015, Aff. C-362/14, Maximillian Schrems c/ Data Protection Commissioner.
(6) Céline Avignon, Post du 13-7-2016.
(7) Chloé Torres, Post du 20-7-2016.
(8) Cnil, Article du 20-7-2016.




Fin du Safe Harbor, premières sanctions en Allemagne

Safe harborL’Autorité d’Hambourg a sanctionné les sociétés qui n’avaient pas pris en compte l’invalidation du Safe Harbor.

Dans un communiqué de presse (1), l’Autorité de protection des données à caractère personnelles d’Hambourg annonce qu’elle a contrôlé trente-cinq entreprises internationales effectuant des flux transfrontières de données vers les Etats-Unis. Suite à ce contrôle, des amendes ont été prononcées contre trois d’entre elles. A ce titre, la Commission a précisé avoir minoré ces amendes dans la mesure où ces sociétés avaient mis en place des clauses contractuelles types au cours de l’enquête.

L’invalidation du dispositif du Safe Harbor par la CJUE

Depuis l’invalidation du dispositif du Safe Harbor par la CJUE le 6 octobre 2015 (2), les sociétés effectuant des flux transfrontières de données vers les Etats-Unis ont eu pour indication (3) d’encadrer ces flux transfrontières hors de l’Union européenne de manière classique comme avec tout pays ne proposant pas un niveau de protection adéquat.

Par conséquent, il convenait que ces sociétés signent soit des binding corporate rules (BCR), soit des clauses contractuelles types avec les sociétés américaines concernées en attendant qu’un nouveau dispositif soit mis en œuvre.

Le Privacy Shield remplacera le Safe Harbor

Ce nouveau dispositif, dénommé Privacy Shield, qui devrait être adopté très prochainement, viendra remplacer le dispositif du Safe Harbor.

Or, pendant cette phase de transition, c’est aux entreprises concernées effectuant des flux transfrontières de données vers les Etats-Unis, de mettre en place un système intermédiaire. Or, cela n’est pas toujours mis en œuvre.

Phase de transition

Trois cas de figure se présentent depuis octobre 2015, concernant les sociétés effectuant des flux transfrontières de données vers les Etats-Unis :

  • elles n’ont pas mis en œuvre d’autres mesures d’encadrement des flux transfrontières de données depuis la fin du Safe Harbor ;
  • elles ont débuté la mise en œuvre de BCR ou de clauses contractuelles types ;
  • elles ont signé des BCR ou des clauses contractuelles types avec les sociétés américaines concernées.
Défaut de mesures de protection complémentaires

Or, la Commission d’Hambourg vient de sanctionner le premier cas de figure à savoir les entreprises qui étaient couvertes par le dispositif du Safe Harbor et qui n’ont pas pris de mesures de protection complémentaires depuis octobre 2015 afin d’encadrer leurs flux transfrontières de données vers les Etats-Unis.

On peut rappeler que la Cnil, ainsi que ses homologues européens, avaient demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.

Cette date étant dépassée, le Privacy Shield étant toujours en discussion et les autorités commençant à prononcer des sanctions, il est recommandé aux sociétés françaises qui ne seraient pas en conformité concernant l’encadrement de leurs flux transfrontières de données vers les Etats-Unis d’y remédier rapidement.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Communiqué de presse du 6-6-2016 de la « Cnil » de Hambourg (en allemand).
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner.
(3) Le Safe Harbor, présentation du 8-1-2016 par la Cnil.




La décision d’adéquation pour l’EU-US Privacy Shield

La décision d’adéquation pour l’EU-US privacy shieldLa commission européenne vient d’adopter, le 12 juillet 2016, une décision d’adéquation visant à reconnaître aux  mécanismes EU–US Privacy Shield, le niveau de protection essentiellement équivalent aux exigences européennes définies par la directive 95/46/CE (1).

Cette adoption met fin à la période d’incertitude ouverte suite à l’invalidation de la décision d’adéquation du Safe Harbor par la Cour de Justice de l’Union européenne d’octobre 2015 (2).

Elle va permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis, sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise.

La décision d’adéquation entre vigueur après qu’elle ait été notifiée à chacun des états membres. Elle sera alors contraignante pour ces derniers.

Pour bénéficier de la décision d’adéquation, les entreprises américaines devront s’auto-certifier. Elles devront respecter les principes définis par l’UE – US Privacy Shield. Si ces principes doivent être respectés dès la certification, il existe néanmoins des dispositions transitoires pour les entreprises qui ont d’ores et déjà établi des relations commerciales.

Cette exception à l’application immédiate des principes du Privacy Shield s’explique par la recherche d’un équilibre entre la protection des données et le temps nécessaire pour les entreprises de s’adapter et se mettre en conformité avec ces nouveaux principes. En tout état de cause, ces entreprises doivent se mettre en conformité dès que possible et au plus tard dans les neuf mois qui suivent l’auto-certification pourvu que cette auto-certification soit mise en place sous les deux mois qui suivent le jour où l’accord Privacy Shield est devenu effectif. Ainsi, pour pouvoir bénéficier de la procédure d’adéquation dans le cadre de la mise en œuvre de flux de données vers les États-Unis, les responsables de traitement européens devront attendre que les entreprises américaines adhèrent au Privacy Shield.

Le département de commerce américain a annoncé qu’il commencerait à accepter les certifications à compter du 1er août 2016.

Si tout semble acquis, il ne faut pas oublier que la décision d’adéquation peut faire l’objet d’un recours devant la Cour de justice de l’Union européenne (CJUE). En effet, les actes des institutions de l’Union produisent des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés dans le cadre d’un recours en annulation ou déclarés invalide à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité. La CJUE est seule compétente pour constater la validité d’un acte de l’union conformément à l’article 263 du Traité traité sur le fonctionnement de l’Union européenne (TFUE).

Ce risque de recours existe compte tenu notamment des réserves effectuées par certains.

Par ailleurs, il convient de noter que les autorités nationales de contrôle saisies d’une demande même en présence d’une décision de la commission constatant qu’un pays tiers offre un niveau de protection adéquat des données, peuvent examiner si le transfert des données d’une personne vers ce pays respecte les exigences de la législation de l’Union relative à la protection de ces données. Elles peuvent également saisir les juridictions nationales au même titre que la personne concernée afin qu’elles procèdent à un renvoi préjudiciel au fin de l’examen par la CJUE de la validité de cette décision.

Enfin, compte tenu des difficultés rencontrées pour aboutir à cette décision d’adéquation, il est rassurant de relever que le règlement européen prévoit que les décisions d’adéquation rendues sur le fondement de l’article 25 § 6 de la directive 95/46/CE abrogée demeurent en vigueur jusqu’à leurs modifications, remplacement ou abrogation par une décision de la commission adoptée conformément à l’article 45 du règlement UE 2016/679.

Céline Avignon
Alain Bensoussan

(1) Décision adéquation du 12 juillet 2016 Bouclier vie privée UE-EU Privacy Shield EU-US (FR).
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner, voir notre post du 30-10-2015.




Le groupe de l’article 29 attend la communication du Privacy Shield

Le groupe de l’article 29 attend la communication du Privacy ShieldLe groupe de l’article 29 a accueilli favorablement la conclusion de l’accord « EU-US Privacy Shield ».

Cependant, en dépit des efforts réalisés par les Etats-Unis, il réitère ses préoccupations concernant les nécessaires garanties à apporter.

Ainsi, dans son communiqué de presse en date du 3 février 2016 (1), le groupe de travail de l’article 29 rappelle, sur le fondement de la jurisprudence européenne, que quatre garanties essentielles devront être apportées pour encadrer notamment les activités de renseignement, à savoir que :

  • le traitement doit être fondé sur des règles claires, précises et accessibles, de telle sorte que toute personne raisonnablement informée puisse savoir comment ses données sont traitées en cas de transfert ;
  • un juste équilibre doit être trouvé entre les finalités pour lesquelles les données sont collectées et traitées et les droits des individus ;
  • un système indépendant doit être mis en place pour assurer de manière effective et impartiale les contrôles nécessaires ;
  • des voies de recours devant des juridictions indépendantes doivent être créées.

Le groupe de l’article 29 est dans l’attente de recevoir l’intégralité de la documentation du « Privacy Shield » afin de pouvoir analyser en détail son contenu.

Le groupe de l’article 29 appréciera alors si le Privacy Shield peut apporter les garanties nécessaires pour assurer un niveau de protection adéquat des données à caractère personnel, niveau qui n’est plus assuré par le Safe Harbor et a été remis en cause dans le cadre de l’affaire Schrems.

En particulier, le groupe de l’article 29 va apprécier dans quelle mesure ce nouvel accord va apporter des réponses quant à la validité des autres mécanismes de transfert.

Le groupe de l’article 29 appelle donc la Commission à lui communiquer tous les documents relatifs au « Privacy Shield » d’ici la fin du mois de février. Il sera alors en mesure de finaliser son analyse des transferts de données vers les Etats-Unis, à l’occasion d’une assemblée plénière qui sera organisée dans les semaines à venir.

A l’issue de ce délai, le groupe de l’article 29 se prononcera sur le sort des Clauses contractuelles types et des Règles Internes d’Entreprise. Dans cette attente, le groupe de travail de l’article 29 considère que ces mécanismes sont toujours valides (2).

Lexing Alain Bensoussan Avocats
Lexing Publicité et marketing électronique

(1) Communiqué du 3-2-2016, Groupe article 29.
(2) Voir notre Post du 3-2-2016.




Le nouveau Safe Harbor est arrivé : l’accord « EU-US Privacy Shield »

œuvre Le 2 février, les Etats-unis et la Commission européenne ont trouvé un accord « EU-US Privacy Shield ».

Depuis le 6 octobre 2015, date de la décision de la CJUE (1), qui a déclaré invalide la décision d’adéquation « Safe Harbor », la commission européenne et les États-Unis sont entrés dans une phase intense de négociations alors même qu’elles étaient engagées bien avant cette date, en vue de définir un nouvel accord Safe Harbor, tenant compte des enseignements de ladite décision.

Par un communiqué du 2 février, la Commission européenne a indiqué avoir trouvé un accord avec les Etats-Unis imposant des obligations plus fortes aux sociétés américaines important des données à caractère personnel depuis l’Europe et une surveillance plus étroite de son application que celle existant pour le Safe Harbor par le Département du commerce et de la Federal Trade Commission. Cet accord se nomme EU-US Privacy Shield.

Par ailleurs, pour remédier au reproche fait par la CJUE relatif au caractère massif et indifférencié (2) de la surveillance par les autorités américaines, la Commission européenne a obtenu un engagement des Etats Unis :

  • d’abandonner la surveillance massive et indifférenciée des données,
  • de définir les conditions et les limites de la surveillance par les autorités américaines.

En outre, les Etats Unis s’engagent à mieux assurer les droits des européens en leur reconnaissant des voies de recours et en créant une procédure alternative de résolution des litiges.

Dans le même sens, pour renforcer la protection des citoyens européens, le Privacy Shield prévoit plus de transparence sur l’utilisation des données en fournissant notamment une information plus claire des individus sur les droits dont ils bénéficient.

En outre, les Etats Unis s’engagent à mettre en œuvre une coopération entre les autorités européennes de protection des données, le Département du Commerce et la FTC, pour assurer l’effectivité des engagements pris dans le Privacy Shield.

Si cet accord est la première pierre à l’édifice de la construction du nouveau droit de la protection des données à caractère personnel en cas de transfert de données vers les Etats Unis, il convient maintenant d’attendre que la commission prenne une décision d’adéquation en remplacement de celle invalidée par la CJUE.

Néanmoins, une autre inconnue à ce stade demeure. En effet, il reste à savoir, dans ce contexte, quelle sera la position du groupe de l’article 29 qui avait imposé aux autorités une date limite au 31 janvier 2016 pour trouver un accord. La question étant de déterminer si ce nouvel accord met en place des garanties suffisantes pour que les entreprises mettant en œuvre ce nouveau programme soient considérées par les autorités européennes de protection comme offrant un niveau de protection adéquat.

Céline Avignon
Lexing Publicité et marketing électronique

(1) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner
(2) Voir notre post du 30-10-2015.




Cloud souverain et offre informatique : état des lieux

Le Cloud souverain peut-il fournir une offre informatique d’infrastructures 100 % françaises aux entreprises ?

En 2009, le gouvernement français s’est engagé dans le projet d’un cloud souverain initialement baptisé « Andromède » qui devait permettre de « développer une alternative française et européenne […] que les Nord-Américains dominent actuellement ». Aujourd’hui le projet français semble être abandonné.

L’idée d’un cloud souverain s’est transférée de l’échelle nationale à l’échelle européenne (1). Pour le gouvernement français, il s’agit de mettre en place un cloud sécurisé dont les données ne pourraient être transférées hors des frontières nationales. Ce projet serait une opportunité économique pour le France.

Le cloud souverain à la française a rencontré de nombreuses difficultés économiques (2). Il n’a jamais été juridiquement défini. La mise en œuvre d’un cloud souverain doit s’adapter à un cadre législatif et réglementaire permettant aux entreprises de contrôler leurs données (3).

Le Safe Harbor résultant de l’accord signé en juillet 2000 par le pouvoir législatif européen a pour objet de permettre le transfert des données vers les États-Unis. Or, la Cour de l’Union européenne (CJUE) considère que le niveau de protection aux États-Unis n’est pas satisfaisant au regard de l’européenne et invalide l’accord le 6 octobre 2015 (affaire « Schrems ») (4).

Cette décision devrait relancer le projet d’un cloud souverain dont les critères objectifs de mise en place doivent être définis.

Toutes les offres du cloud proposées par Google, Apple, Facebook et Amazon (les « Gafa ») sont concernées. Le transfert des données personnelles à destination des États-Unis est donc prohibé sans un encadrement strict.

Les entreprises réfléchissent actuellement à un mécanisme de protection des données selon lequel elles pourraient choisir l’emplacement de stockage et gérer directement les clefs de chiffrement.

Un mécanisme cohérent est proposé par la société Microsoft, propriétaire de deux nouveaux centres de données situé en Allemagne. Dans le cadre de ce mécanisme la société Microsoft ne peut accéder aux données sans l’autorisation des clients ou des tiers et dans le cas où l’autorisation est donnée, l’accès doit être supervisé par l’opérateur tiers des centres de données : la société Deutsche Telecom.

L’état des lieux du cloud souverain montre une volonté de transposer l’idée d’un cloud souverain à l’échelle européenne. L’invalidation de l’accord du safe harbor créé un « huis clos » de données au sein de l’Union européenne pour lequel de plus les normes ISO 17788 :2014 et 17789 :2014 qui concernent directement le cloud pourraient être très utiles (5).

Les prestataires doivent prévoir des mécanismes cohérents pour la mise en place d’un cloud souverain européen et permettre ainsi d’offrir à leur client une possibilité de « régionaliser » les données, première étape au cloud « Privacy by Design ».

Eric Le Quellenec
Lexing Droit Informatique

(1) J.-F. Forgeron, « Contrat de Cloud computing », Post du 25-6-2015.
(2) Notamment le rachat de Cloudwatt par Orange et la vente de Numergy.
(3) Rapport de l’observatoire du monde cybernétique.
(4) C. Torres, « Données personnelles : invalidation de l’accord Safe Harbor », Post du 24-10-2015.
(5) Normes disponibles sur le site de l’OIN.




Juristendances Informatique et Télécoms n°163-2015

Juristendances Informatique et Télécoms n°163-2015L’édito de la Juristendances de décembre porte sur la décision Schrems et ses impacts sur le projet de cloud souverain.

En 2009, le gouvernement français s’est engagé dans le projet d’un cloud souverain : « Andromède  » qui devait permettre de « développer une alternative française et européenne […] que les Nord-Américains dominent actuellement ». Aujourd’hui le projet français semble être abandonné. L’idée d’un cloud souverain s’est transférée de l’échelle nationale à l’échelle européenne.

Mais cloud souverain à la française a rencontré de nombreuses difficultés dont la dernière en date est l’invalidation du Safe Harbor empêchant désormais tout transfert des données personnelles à destination des États-Unis.

Parmi les autres thématiques proposées dans ce numéro, figurent :

  • le décryptage de la technologie blockchain (ou  » chaîne de blocs  » en français) et ses aspects légaux ;
  • le rappel par la Cour de cassation, les conditions de résiliation judiciaire d’un contrat aux torts exclusifs de l’une des parties contractantes ;
  • les principales actions à mettre en œuvre pour valoriser et protéger sa e-réputation ;
  • une nouvelle pierre à l’édifice jurisprudentiel du devoir de conseil du prestataire informatique à propos de la réalisation d’un site d’e-commerce ;
  • un zoom sur les principales dispositions de la loi Macron en ce qui concerne les communications électroniques ;
  • une décision du Conseil d’Etat sur l’étendue de l’office du juge du référé précontractuel en matière de marchés publics ;
  • le point sur le projet de « Paquet marque » réformant le droit des marques sur le territoire de l’Union européenne ;
  • le « Forfait innovation » destiné à la prise en charge dérogatoire des dispositifs médicaux ou actes innovants ;
  • le plan de l’OCDE pour lutter contre les pratiques d’évasion fiscale des multinationales ;
  • la recommandation de l’OCDE sur la gestion du risque de sécurité numérique pour la Prospérité économique et sociale ;
  • l’entrée en vigueur du décret d’application relatif à la médiation des litiges de la consommation.

Ce numéro intègre également les contributions des membres du réseau lexing Afrique du Sud et Lexing Canada.

Lettre Juristendances Informatique et Télécoms n°163, décembre 2015




Etat des lieux sur l’invalidation du Safe Harbor par la CJUE

Etat des lieux sur l’invalidation du Safe Harbor par la CJUELa Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme d’adéquation « Safe Harbor », le 6 octobre 2015 (1).

Le Safe Harbor est issu de la décision d’adéquation de la Commission européenne du 26 juillet 2000 (2), pour permettre aux responsables de traitements de mettre en œuvre des flux transfrontières vers les Etats-Unis lorsque le destinataire, aux USA y adhère.

Cette décision n’est pas vraiment une surprise compte tenu :

  • des prises de position, notamment de la Cnil et des autres autorités européennes au sein du groupe de l’article 29 (3), qui attiraient l’attention sur le caractère disproportionné d’une collecte massive et indifférenciée des données par les autorités américaines, en particulier après l’affaire Snowden ;
  • les conclusions de l’avocat général (4) considérant que le niveau de protection assuré par les Etats-Unis, dans le cadre du régime de la « sphère de sécurité » (dit « Safe Harbor »), n’était plus adéquat.

Pour autant, elle inquiète et place les entreprises françaises qui ont mis en œuvre des flux vers les Etats-Unis sur ce fondement, dans une situation juridique complexe.

Bien sûr, la décision de la CJUE ne concerne en principe, que les flux mis en œuvre sur le fondement de la décision d’adéquation du 26 juillet 2000 (Safe Habor).

Cependant, les entreprises qui ont mis et qui souhaiteraient mettre en œuvre des flux transfrontières de données vers les Etats-Unis, se trouvent face à une difficulté juridique à ce jour difficilement surmontable.

La décision de la CJUE ne remet pas directement en cause la possibilité pour les responsables de traitement de mettre en œuvre des flux vers les Etats-Unis sur le fondement :

  • de Binding corporates Rules (BCR),
  • de clauses contractuelles types,
  • ou encore, lorsque les flux s’y prêtent, sur le fondement d’une des exceptions à l’interdiction des flux transfrontières visées à l’article 69 de la loi Informatique et libertés.

Elle risque néanmoins d’avoir également des impacts sur ces outils pour les mêmes raisons que celles qui ont présidé à l’annulation de la décision du 26 juillet 2000.

En effet, la question du niveau de protection des données à caractère personnel transférées vers les Etats-Unis se pose de manière générale quel que soit l’outil juridique utilisé par le responsable du traitement.

Une autorité de protection du land allemand du Schleswig-Holstein s’est déjà prononcée en la matière en précisant que les flux vers les Etats-Unis ne pouvaient être mis en œuvre que sur un fondement légal. Cette position signifie que pour cette autorité, seule une modification légale aux USA pourrait permettre de mettre en œuvre des flux vers les Etats-Unis.

Les autorités européennes de protection des données membres du groupe de l’article 29 (ensemble des Cnil européennes), se sont réunies le 15 octobre et ont adopté une approche commune, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.

Dans ce cadre, le groupe de l’article 29 a notamment rappelé que la surveillance massive et indifférenciée instituée à la suite du 11 septembre ne pouvait pas être compatible avec le cadre juridique européen et que les outils de transferts ne pouvaient constituer une solution à ce problème.

Le Groupe de l’article 29 selon le communiqué diffusé sur le site de la Cnil, a demandé aux Etats membres et aux institutions européennes « d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux ».

Le groupe de l’article 29 a indiqué que la solution pourrait consister dans « un accord intergouvernemental offrant des garanties fortes aux citoyens européens ».

De ce point de vue, compte tenu de la négociation sur le nouvel accord Safe Habor, une issue de sortie pourrait ainsi être trouvée.

En tout état de cause, le groupe de l’article 29 a d’ores et déjà indiqué que la solution retenue devrait s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes.

Sur ce dernier point relatif aux mécanismes de recours et la protection des droits, un espoir existe puisque un projet de loi est en cours de discussion aux USA. Cette proposition autoriserait les citoyens européens à intenter des actions en justice contre les organes du gouvernement américain en cas de violation de leurs droits liés à la vie privée et à la protection des données.

Si les espoirs de solution à moyen terme existent pour sortir de l’insécurité juridique dans laquelle la décision de la CJUE a placé les entreprises transférant leurs données vers les USA, le groupe de l’article 29 a indiqué que dans l’attente de son analyse d’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types), ces outils pouvaient encore être utilisés par les entreprises (5).

Néanmoins, les autorités risquent, pendant cette période transitoire, de contrôler avec beaucoup plus d’attention les transferts de données vers les Etats-Unis qui leur seront soumis, sur la base des outils tels que les clauses contractuelles types. En tout état de cause, les transferts fondés sur le Safe harbor antérieurement à la décision d’invalidation devront être régularisés auprès de l’autorité compétente.

Les entreprises devront pour ce faire répertorier les traitements faisant intervenir des flux transfrontières pour, le cas échéant, les régulariser, tout en veillant à s’assurer de la mise à jour des mentions d’information des personnes concernées.

Céline Avignon
Lexing, Droit Informatique et libertés Contentieux

(1) Arrêt CJUE du 6-10-2015, Affaire C-362/14 Maximillian Schrems v Data Protection Commissioner.
(2) Décision de la Commission du 26 juillet 2000 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (dit Safe Harbor) et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, JOCE (L) 215/7 du 25-8-2000.
(3) Le groupe de travail « article 29 » (ou G29) sur la protection des données qui réunit les représentants des autorités européennes de protection des données.
(4) Conclusions de l’avocat général dans l’affaire C-362/14 Maximillian Schrems/Data Protection Commissioner, présentées le 23-9-2015.
(5) Statement of the Article 29 Working Party, Brussels, 16 October 2015.