Le 6 octobre passé, la Cour de Justice européenne (CJUE) a rendu une décision dans laquelle elle considère comme invalide un important protocole d’autocertification pour les entreprises qui souhaitent transférer des données personnelles de l’Union européenne vers les États-Unis.

Schrems est un étudiant autrichien et utilisateur de Facebook. Il s’opposait à la pratique de Facebook de transférer les données personnelles des utilisateurs de sa filière européenne, basée en Irlande, vers la maison-mère située États-Unis, dans la foulée des révélations sur l’espionnage de la National Security Agency sur des millions d’utilisateurs Facebook.

Il avait donc demandé au Commissaire à la protection des données personnelles d’Irlande de statuer sur la question.  Ce dernier a décliné compétence en disant que Facebook respectait ses obligations en s’étant autocertifiée et en respectant des «safe-harbor privacy principles».  Il a donc référé la question à la CJUE.

  1. Eleventh, in these circumstances the critical issue which arises is whether the proper interpretation of the 1995 Directive and the 2000 Commission decision should be re-evaluated in the light of the subsequent entry into force of Article 8 of the Charter and whether, as a consequence, the Commissioner can look beyond or otherwise disregard this Community finding. It is for these reasons accordingly that I have decided to refer this question (and other linked questions) to the Court of Justice pursuant to Article 267 TFEU. ([2014] IEHC 310)

Ceci nous amène à aborder les questions de droit que sont l’autocertification et les «safe-harbor privacy principles».

 

L’AUTOCERTIFICATION

 

La décision de la CJUE explique le processus d’autocertification à son 9e paragraphe :

Comment une organisation autocertifie-t-elle qu’elle adhère aux principes de la  sphère de sécurité?

Les avantages afférents à la ‘sphère de sécurité’ sont acquis à partir de la date à laquelle une organisation autocertifie au ministère américain du commerce (ou à la personne désignée par celui-ci) qu’elle adhère aux principes conformément aux modalités ci-dessous.

Pour autocertifier son adhésion à la ‘sphère de sécurité’, une organisation peut remettre au ministère américain du commerce (ou à la personne désignée par celui-ci) une lettre signée d’un cadre de ladite organisation contenant au moins les informations suivantes:

1)      le nom de l’organisation, son adresse postale, son adresse électronique, ses numéros de téléphone et de télécopieur;

2)      une description des activités de l’organisation relativement aux informations à caractère personnel en provenance de l’Union européenne;

3)      une description des dispositions de protection de la vie privée appliquées par l’organisation auxdites informations, précisant: a) le lieu où le texte de ces dispositions peut être consulté par le public; b) la date de mise en œuvre de ces dispositions; c) le service à contacter en cas de plainte, pour des demandes d’accès et pour toute autre question relevant de la ‘sphère de sécurité’; d) le nom de l’instance réglementaire spécifique qui est chargée de statuer sur les plaintes déposées, le cas échéant, contre l’organisation pour pratiques déloyales ou frauduleuses et pour infraction aux lois ou aux réglementations régissant la protection de la vie privée (et qui est mentionnée dans l’annexe aux principes); e) l’intitulé de tout programme relatif à la protection de la vie privée auquel participe l’organisation; f) la méthode de vérification (par exemple, en interne ou par des tiers) […] et g) l’instance de recours indépendante qui pourra instruire les plaintes non résolues.

Une organisation peut étendre les avantages de la ‘sphère de sécurité’ à des informations de type ‘ressources humaines’ qui sont transférées depuis l’Union européenne afin d’être utilisées dans le cadre de relations de travail, lorsque l’une des instances réglementaires mentionnées dans l’annexe aux principes est compétente pour statuer sur les plaintes déposées, le cas échéant, contre ladite organisation dans le domaine des informations de type ‘ressources humaines’. […]

Le ministère (ou la personne désignée par celui-ci) tiendra une liste de l’ensemble des organisations qui suivent cette procédure, garantissant ainsi les avantages de la ‘sphère de sécurité’, et mettra à jour cette liste sur la base des lettres et notifications reçues chaque année en conformité avec la FAQ 11. […]»

 

L’autocertification est donc un processus d’autorégulation par lequel les entreprises font l’affirmation solennelle qu’elles adhèrent à certains principes.  Ces principes sont souvent les «safe-harbor privacy principles».

 

QUE SONT LES «SAFE-HARBOR PRIVACY PRINCIPLES»?

 

Il s’agit de principes visant à rendre plus prévisibles les transferts de données entre les États-Unis et l’Europe.  Les organisations qui décident d’adhérer à ses principes doivent s’y conformer et affirmer publiquement qu’ils s’y conforment.

L’adhérence à ses principes peut être limitée pour une question de sécurité nationale; si le gouvernement régule d’une façon que la limitation ne vise qu’à se conformer à une régulation visant les intérêts supérieurs de l’État; si une Directive permet une telle dérogation.  Quand le choix est possible, on s’attend des gouvernements et des organisations de viser les normes les plus élevées en matière de protection des données.

Selon le gouvernement américain, on définit les «safe-harbor privacy principles» ainsi :

NOTICE:  An organization must inform individuals about the purposes for which it collects and uses information about them, how to contact the organization with any inquiries or complaints, the types of third parties to which it discloses the information, and the choices and means the organization offers individuals for limiting its use and disclosure. This notice must be provided in clear and conspicuous language when individuals are first asked to provide personal information to the organization or as soon thereafter as is practicable, but in any event before the organization uses such information for a purpose other than that for which it was originally collected or processed by the transferring organization or discloses it for the first time to a third party(1).

CHOICE: An organization must offer individuals the opportunity to choose (opt out) whether their personal information is (a) to be disclosed to a third party(1) or (b) to be used for a purpose that is incompatible with the purpose(s) for which it was originally collected or subsequently authorized by the individual. Individuals must be provided with clear and conspicuous, readily available, and affordable mechanisms to exercise choice.

For sensitive information (i.e. personal information specifying medical or health conditions, racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership or information specifying the sex life of the individual), they must be given affirmative or explicit (opt in) choice if the information is to be disclosed to a third party or used for a purpose other than those for which it was originally collected or subsequently authorized by the individual through the exercise of opt in choice. In any case, an organization should treat as sensitive any information received from a third party where the third party treats and identifies it as sensitive.

ONWARD TRANSFER: To disclose information to a third party, organizations must apply the Notice and Choice Principles. Where an organization wishes to transfer information to a third party that is acting as an agent, as described in the endnote, it may do so if it first either ascertains that the third party subscribes to the Principles or is subject to the Directive or another adequacy finding or enters into a written agreement with such third party requiring that the third party provide at least the same level of privacy protection as is required by the relevant Principles. If the organization complies with these requirements, it shall not be held responsible (unless the organization agrees otherwise) when a third party to which it transfers such information processes it in a way contrary to any restrictions or representations, unless the organization knew or should have known the third party would process it in such a contrary way and the organization has not taken reasonable steps to prevent or stop such processing.

SECURITY: Organizations creating, maintaining, using or disseminating personal information must take reasonable precautions to protect it from loss, misuse and unauthorized access, disclosure, alteration and destruction.

DATA INTEGRITY: Consistent with the Principles, personal information must be relevant for the purposes for which it is to be used. An organization may not process personal information in a way that is incompatible with the purposes for which it has been collected or subsequently authorized by the individual. To the extent necessary for those purposes, an organization should take reasonable steps to ensure that data is reliable for its intended use, accurate, complete, and current.

ACCESS: Individuals must have access to personal information about them that an organization holds and be able to correct, amend, or delete that information where it is inaccurate, except where the burden or expense of providing access would be disproportionate to the risks to the individual’s privacy in the case in question, or where the rights of persons other than the individual would be violated.

ENFORCEMENT: Effective privacy protection must include mechanisms for assuring compliance with the Principles, recourse for individuals to whom the data relate affected by non-compliance with the Principles, and consequences for the organization when the Principles are not followed. At a minimum, such mechanisms must include (a) readily available and affordable independent recourse mechanisms by which each individual’s complaints and disputes are investigated and resolved by reference to the Principles and damages awarded where the applicable law or private sector initiatives so provide; (b) follow up procedures for verifying that the attestations and assertions businesses make about their privacy practices are true and that privacy practices have been implemented as presented; and (c) obligations to remedy problems arising out of failure to comply with the Principles by organizations announcing their adherence to them and consequences for such organizations. Sanctions must be sufficiently rigorous to ensure compliance by organizations. »

 

LA DÉCISION DE LA COUR

 

La CJUE a tout d’abord tranché que le Commissaire irlandais avait compétence puisque le transfert de données personnelles à un tiers État relevait de la sphère de compétence des autorités nationales.  Quant à la décision sur le fond, la Cour estime que les «safe-harbor privacy principles» ne protègent pas suffisamment les données personnelles des citoyens de l’Union européenne, dans la mesure où on peut passer outre à ces principes si l’intérêt national des États-Unis le nécessite.  Par ailleurs, l’absence de recours judiciaire aux États-Unis pour empêcher une telle utilisation ne permet pas d’assurer les garanties légales que propose l’autocertification.

 

Il sera intéressant de voir les suites de cette affaire, et l’impact qu’elle aura sur le Canada, qui semble tellement en retard en matière de législation du numérique.