Image par Reto Scheiwiller de Pixabay
par Florence G’sell
La version en anglais de ce billet peut être lue ici
Le 22 mai 2023, la Commission irlandaise de protection des données (Data Protection Commission – DPC) a publié sa décision du 12 mai 2023 condamnant Meta Platforms Ireland Limited à une amende de 1,2 milliard d’euros pour violation du Règlement Général sur la Protection des Données (RGPD). La décision, qui prononce l’amende la plus importante jamais infligée au titre du RGPD, est fondée sur le fait que les conditions dans lesquelles Meta a transféré des données personnelles aux Etats-Unis depuis le 16 juillet 2020 ne garantissaient pas un niveau de protection des personnes concernées conforme aux exigences du droit de l’Union européenne. En conséquence, Meta a 5 mois pour suspendre tous les transferts de données à caractère personnel vers les États-Unis et 6 mois pour mettre toutes ses activités de stockage et traitement des données en conformité avec le droit de l’UE.
Quoi que spectaculaire, cette décision était prévisible et attendue. Elle constitue la plus récente étape du contentieux introduit par Maximilian Schrems et son association NOYB à la suite des révélations d’Edward Snowden à propos des programmes de surveillance américains. La portée de la décision va, d’ailleurs, bien au-delà des seuls transferts de données réalisés par Meta en direction des Etats-Unis. En effet, en ce qu’elle remet en cause le fondement juridique sur lequel la plupart des transferts internationaux de données sont aujourd’hui réalisés, cette décision produit et va produire des conséquences pour l’ensemble des entreprises se livrant à de tels transferts en direction de pays tiers à l’Union Européenne.
Dans la foulée de la décision de la CJUE invalidant le Privacy Shield le 16 juillet 2020, l’autorité irlandaise de protection des données, la Data Protection Commission avait ouvert une enquête relative au service Facebook afin de déterminer si les transferts de données de Facebook/Meta vers les États-Unis étaient légaux. Depuis l’invalidation du Privacy Shield, Meta, comme beaucoup d’autres entreprises, doit fonder les transferts de données personnelles sur des clauses contractuelles types (Standard Contractual Clauses – SCCs). Jugeant que les garanties offertes par Meta étaient, dans ce cadre, insuffisantes, le DPC irlandais avait, à l’automne 2020, rendu une ordonnance préliminaire ordonnant la cessation des transferts vers les Etats-Unis. Meta avait alors exercé un recours et obtenu un sursis.
Après de nombreux rebondissements, l’affaire a été examinée par le Comité Européen de Protection des Donnée (European Data Protection Board – EDPB), composé de représentant de l’ensemble des autorités nationales de protection des données, conformément au dispositif de règlement des litiges prévu par le RGPD. Dans ce type d’affaire, les différentes autorités de protection des données nationales ont leur mot à dire en tant qu’ « autorités de contrôle concernées ». Des objections avaient été, en l’occurrence, soulevées par plusieurs autorités nationales à propos des sanctions devant être prononcées. L’autorité irlandaise, en tant qu’autorité « chef de file », a alors déclenché une procédure de règlement des litiges sur le fondement de l’article 65 du RGPD. Il est donc revenu à l’EDPB de trancher la question dans une décision du 13 avril 2023, contraignante pour la DPC. L’autorité irlandaise a ainsi simplement repris, dans sa propre décision, ce qui avait été décidé au niveau européen.
Si le montant de l’amende prononcée impressionne, il ne faut pas, pour autant, oublier que le principal aspect de la décision tient à l’ordre d’arrêter le transfert des données en direction des Etats-Unis. La DPC irlandaise en avait jugé ainsi dès 2020 et ce point a fait consensus parmi l’ensemble des autorités nationales de protection des données. Meta a désormais cinq mois, à compter de la date de notification de la décision (qui a eu lieu le 12 mai), pour cesser ses transferts, qui devront donc être interrompus au plus tard le 12 octobre.
Se posait également la question des transferts illicites de données réalisés depuis l’invalidation du Privacy Shield en 2020. Plusieurs autorités nationales de protection des données, à commencer par la CNIL, estimaient que cette situation devait donner lieu à une mise en conformité. Il a donc été ordonné à Meta de « mettre ses opérations de traitement en conformité » avec le chapitre V du RGPD, « en cessant le traitement illégal, y compris le stockage, aux États-Unis de données à caractère personnel d’utilisateurs de l’Espace Economique Européen transférées en violation du RGPD ». Il semble découler de cette injonction que Meta va devoir effacer les données transférées aux Etats-Unis depuis juillet 2020, même si cela n’est pas clairement dit dans la décision. Telle est en tout cas l’opinion exprimée par certaines autorités nationales de protection des données, même si l’on pourrait imaginer que le cryptage des données puisse être envisagé (à la condition que ce cryptage place les données hors d’atteinte des autorités de surveillance). Meta dispose en tout cas d’un délai de 6 mois pour se mettre en conformité.
Enfin, le montant de l’amende de 1,2 milliards d’euros prononcée à l’égard de Meta est particulièrement élevé. Il ne s’agit pas seulement de l’amende la plus élevée prononcée sur le fondement du RGPD, mais aussi de la première relative à des transferts illicites de données. A l’origine, la DPC irlandaise, notant la bonne foi de Meta, n’était pas disposée à prononcer une telle amende, mais les autorités de protection des données allemande, autrichienne, espagnole et française ont insisté en ce sens. Dans sa délibération, l’EDPB a enjoint à la DPC de prononcer une sanction tenant compte de la gravité des manquements, de la taille de l’entreprise et du nombre d’utilisateurs concernés. Il a insisté, à cet égard, sur le nombre très élevé de personnes concernées et sur le fait que la violation du RGPD durait depuis le 16 juillet 2020. Si l’EDPB a laissé l’autorité irlandaise fixer le montant final de l’amende, il a préconisé un montant suffisant pour punir et dissuader les transferts illicites, et se situant entre 20 % et 100 % du maximum prévu par le RGPD. La DPC a, selon ses propres dires, fixé ce montant en tenant compte des conséquences de sa décision pour Meta, qui n’a cessé de souligner que la décision pouvait l’amener à cesser de proposer le service Facebook dans l’Union Européenne, ce qui représente 10% de ses revenus.
Le chapitre V du Règlement Général sur la Protection des Données (RGPD) établit des restrictions sur les transferts internationaux de données à caractère personnel hors de l’Europe, et plus précisément l’Espace Economique Européen. L’objectif est que le niveau de protection dont bénéficient les personnes ne soit pas compromis lorsque des données à caractère personnel sont transférées hors d’Europe. Les entreprises sont donc tenues de veiller à ce que des « garanties adéquates » soient mises en place pour ces transferts, sauf lorsque le pays destinataire des données a fait l’objet d’une décision d’adéquation prise par la Commission Européenne, auquel cas les transferts peuvent intervenir sans mesures supplémentaires.
Dans le cas des Etats-Unis, aucune décision d’adéquation n’a jamais été adoptée compte tenu de la législation américaine qui offre peu de garantie de protection des données personnelles. Deux dispositions législatives sont, à cet égard, particulièrement problématiques pour les autorités européennes : la section 702 du Foreign Intelligence Surveillance Act (FISA) et le décret présidentiel (Executive Order) 12333.
Promulguée en 1978, la loi FISA autorise et encadre la surveillance des communications électroniques à des fins de renseignement. Elle a été modifiée de nombreuses fois depuis son adoption. En 2008, le Congrès lui a ajouté une disposition, la section 702, dans le but d’autoriser la collecte d’informations relatives à des ressortissants non américains. La section 702 permet ainsi aux agences de renseignement américaines de procéder à une surveillance ciblée de personnes étrangères situées en dehors des États-Unis. Les cibles peuvent être toute personne susceptible de détenir, recevoir ou communiquer des informations de renseignement (terrorisme, trafic d’armes, etc.). Les services de renseignement peuvent déterminer eux-mêmes les personnes à cibler, sans contrôle judiciaire, dès lors que ces personnes ne sont ni de nationalité américaine, ni en territoire américain (ce qui signifie qu’elles ne bénéficient pas des garanties constitutionnelles prévues par la Constitution des Etats-Unis). Il suffit donc simplement que les autorités obtiennent annuellement l’autorisation de principe d’une juridiction spéciale, la Foreign Intelligence Surveillance Court (FISC).
Chaque année, le procureur général et le directeur du renseignement national préparent des « certifications » qui autorisent les programmes de surveillance 702. Ces certifications sont ensuite soumises à l’approbation de la FIS Court. Les certifications comprennent plusieurs éléments clés, tels que l’identification des catégories d’informations de renseignement étranger à collecter, la confirmation qu’un « objectif significatif » (et non « principal ») du programme est de collecter des informations de renseignement étranger, et l’assurance que le programme recourt un fournisseur américain de services de communications électroniques. Si tous les éléments requis sont réunis, la FISC est tenue d’approuver le programme de surveillance 702. Il est important de noter que la FISC ne participe pas au processus de détermination des cibles. Une fois la collecte approuvée, les autorités identifient les cibles à surveiller et peuvent contraindre les fournisseurs de services de communications électroniques à participer au processus de collecte de données contre ces cibles. Il faut souligner que la section 702 du Foreign Intelligence Surveillance Act (Fisa) doit expirer au 31 décembre 2023, mais il est probable que le Congrès décide de la reconduire, ce qui est le souhait de l’administration Biden.
Il existe actuellement deux formes connues de collecte de données sur le fondement de la section 702. Dans le cadre de PRISM, les autorités recueillent les communications d’une cible déterminée (par ex une adresse électronique) directement auprès en obtenant des données des sociétés de télécommunications (AT&T etc.) et fournisseurs de services internet (Facebook, Google, Amazon etc.) basés aux Etats-Unis. La NSA reçoit les informations ainsi collectées et peut les communiquer à la CIA et au FBI. Un autre type de collecte, la collecte en amont, est également pratiqué. Dans ce cadre, les services de surveillance récupèrent les données relatives à des communications à destination, en provenance ou « à propos » d’une cible, lorsque les communications passent par des réseaux contrôlés par des prestataires basés aux États-Unis. C’est ainsi que la NSA utilise pour cela des outils placés à des endroits stratégiques de l’infrastructure américaine de l’internet. Seule la NSA peut recevoir les données brutes ainsi collectée, mais elle peut les envoyer à la CIA et au FBI une fois que les données ont été soumises à un processus de minimisation.
Parallèlement, l’Executive Order 12333, adopté en 1981 et modifié à plusieurs reprises, autorise les activités de surveillance menées non pas depuis les Etats-Unis (où la section 702 FISA s’applique) mais à l’étranger, à l’égard des personnes étrangères aux Etats-Unis. Ce texte autorise notamment la « collecte en vrac » de données sans aucun contrôle judiciaire, ce qui permet l’acquisition de quantités massives de données. Pour mener ses activités de surveillance, la NSA identifie les entités étrangères (personnes ou organisations) disposant d’informations répondant à un besoin de renseignement identifié. Par exemple, la NSA s’efforce d’identifier les individus susceptibles d’appartenir à un réseau terroriste. Ce processus implique souvent la collecte de métadonnées de communication à l’étranger associées à des appels téléphoniques. Il faut souligner que l’EO 12333 permet de collecter des données relatives à des communications entre une personne située en dehors des États-Unis et une personne située aux États-Unis.
Les autorités européennes de protection des données estiment que ces législations permettent aux autorités américaines d’accéder aux données personnelles transférées aux États-Unis en contrariété avec la protection garantie par le RGPD. Pour cette raison, les Etats-Unis et l’Union Européenne ont tenté, de longue date, de se mettre d’accord sur des mécanismes destinés à offrir aux européens dont les données sont transférées aux Etats-Unis un niveau de protection satisfaisant. Il s’est agi du Safe Harbor, en vigueur de 2000 à 2015, et du Privacy Shield, en vigueur de 2016 à 2020. Les décisions d’adéquation prises en considération de ces mécanismes ont, cependant, été successivement annulées par la Cour de Justice de l’Union Européenne. Depuis l’invalidation du Privacy Shield le 16 juillet 2020, les entreprises doivent donc utiliser un mécanisme juridique alternatif valide pour s’assurer que les transferts de données à caractère personnel de l’UE vers les États-Unis sont assortis de garanties adéquates. Elles fondent généralement les transferts sur des clauses contractuelles types (Standard Contractual Clauses- SCCs), qui sont des clauses standards pré-approuvées par les autorités de protection des données. Des modèles de clauses contractuelles types sont publiées par les autorités de l’UE et adoptées par les entreprises qui souhaitent transférer légalement leurs données.
Dans sa décision du 16 juillet 2020 relative au Privacy Shield, la Cour de Justice de l’Union Européenne avait expressément approuvé la possibilité de recourir à de telles clauses contractuelles types. Dans le même temps, elle avait jugé que les entreprises qui les utilisent sont également tenues de procéder à une évaluation de la législation du pays de destination afin de s’assurer que les données à caractère personnel transférées bénéficient d’une protection « essentiellement équivalente » à celle qu’elles recevraient si elles étaient restées dans l’UE. Il leur faut notamment s’assurer que la législation du pays destinataire des données leur permettent de respecter les clauses contractuelles types. C’est ainsi que des études d’impact du transfert de données (Data Transfer Impact Assessments) doivent être menées afin d’évaluer la protection garantie par la législation du pays destinataire et la mesure dans laquelle cette législation offre des garanties adéquates. Ces analyses d’impact doivent notamment indiquer si les transferts doivent être suspendus ou si des mesures supplémentaires peuvent être adoptées pour offrir aux personnes concernées une protection équivalentes à celle dont elles bénéficient en Europe.
Dans le cas de Meta, les clauses contractuelles et les garanties offertes par Meta ont été jugées insuffisantes. La DPC a relevé, en particulier, que les clauses contractuelles types proposées par Meta, qui a réécrit en 2021 son ancien modèle de clauses datant de 2010, ne permettent pas compenser les difficultés suscitées par la législation américaine. En outre, les mesures supplémentaires mises en place par Meta ont été examinées à la lumière des textes américains applicables et n’ont pas été jugées de nature à offrir une protection adéquate (« essentiellement équivalente »).
Bien que cette décision concerne exclusivement Meta, elle a potentiellement des conséquences à l’égard de toutes les entités recourant aux clauses contractuelles types pour transférer des données aux Etats-Unis. La DPC a reconnu la portée très large de sa décision et noté que celle-ci a un effet pour tous les fournisseurs de services de communications électroniques transférant des données à caractère personnel. La décision crée ainsi une situation juridiquement très incertaine.
Il n’apparaît pas que la décision affecte la validité des clauses contractuelles standard comme fondement juridique des transferts de données. Elle montre toutefois que ces clauses ne suffisent pas, à elles seules, à garantir une protection adéquate lorsque des transferts interviennent en direction de pays pour lesquels aucune décision d’adéquation n’a été adoptée. L’analyse d’impact (Data Tranfer Impact Assessement) doit être rigoureuse et les mesures supplémentaires à adopter doivent être suffisamment protectrices. Différents aspects doivent être pris en considération à cet égard : le volume de données transféré, le caractère sensible ou non de ces données, le fait que les données soient cryptées ou en clair, le fait que les autorités du pays d’accueil aient déjà effectué ou non des demandes d’accès aux données détenues par l’entreprise concernée ou une entreprise du même secteur.
On peut se demander, à cet égard, s’il existe véritablement des types de mesures supplémentaires de nature à véritablement offrir une protection satisfaisante lorsque les données sont transférées aux Etats-Unis par les grande entreprises technologiques. Le cryptage de bout en bout pourrait être une solution, mais encore faudrait-il s’assurer qu’il permet de résister aux techniques de surveillance mises en place par les autorités américaines, ce qui n’est pas acquis dès lors que lesdites autorités sont en droit d’exiger la divulgation des clés de chiffrement. Une possibilité serait évidemment d’imaginer que les entreprises transférant les données ne soient pas elles-mêmes en possession des clés de chiffrement. Cependant, comme le soulignent Anupam Chander et Joe Jones, ne pas pouvoir déchiffrer les données empêcherait les entreprises concernées de réaliser certaines tâches, comme la modération, et fragiliserait leur modèle d’affaire, qui repose sur le profilage et la publicité ciblée.
Pour l’heure, Meta conteste vigoureusement la décision. Le communiqué de Nick Clegg, son directeur des affaires publiques, a souligné la bonne foi de Meta dans le recours aux clauses contractuelles types. Il a dénoncé le risque d’un internet fracturé, découpé en silos, où les données ne circuleraient plus, ce qui, selon lui, aurait des répercussions économiques négatives et empêcherait les citoyens de différents pays d’accéder à de nombreux services partagés. Il a annoncé, enfin, faire appel de la décision sur le fond et demander la suspension de l’exécution de la décision.
Il est probable, du reste, que Meta n’ait pas à interrompre ses transferts en octobre prochain comme le lui enjoint la DPC. Le nouvel accord conclu entre les Etats-Unis et l’Union Européenne, le Data Privacy Framework, devrait, entre-temps, être rendu effectif par l’adoption d’une nouvelle décision d’adéquation. Au printemps 2022, en effet, l’Union européenne et les États-Unis ont conclu un nouvel accord de principe en vue de mettre sur pied un nouveau mécanisme permettant de faciliter les transferts de données outre-atlantique. Les États-Unis se sont engagés à faire en sorte que les activités de surveillance et la collecte des données des agences gouvernementales soient « nécessaires et proportionnées », deux garanties auxquelles les européens sont attachés. Les États-Unis se sont également engagés à créer une autorité indépendante chargée d’encadrer et contrôler la manière dont les données sont collectées et traitées par les autorités américaines. Parallèlement, les entreprises américaines devront continuer à s’auto-certifier auprès du Department of Commence en garantissant notamment qu’elles sont en mesure de respecter les dispositions du RGPD.
Dans la foulée de cet accord, le président américain Joe Biden a signé, le 7 octobre 2022, le décret présidentiel (Executive Order) on Enhancing Safeguards for United States Signals Intelligence Activities (EO 14086) destiné à mieux encadrer les activités de surveillance. Le texte prévoit que les autorités américaines ne peuvent collecter des données que pour un objectif de sécurité nationale défini, lorsque cela est nécessaire à la réalisation de cet objectif et seulement d’une manière proportionnée à cette priorité. Les exigences de « nécessité » et la « proportionnalité » sont explicitement mentionnées dans le texte. Les agences de renseignement devront, dans ce cadre, modifier leurs procédures afin de respecter les nouvelles garanties, sous le contrôle d’un nouveau Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board) qui réalisera un audit annuel de ces procédures. Par ailleurs, le décret présidentiel prévoit un mécanisme de recours au profit des personnes concernées devant le responsable de la protection des libertés civiles du bureau du directeur du renseignement national (Civil Liberties Protection Officer of the Office of the Director of National Intelligence (CLPO)). Les décisions du CLPO peuvent elles-mêmes être contestée devant une nouvelle Cour de contrôle de la protection des données (Data Protection Review Court (DPRC)). Les décisions du CLPO et du DPRC seront contraignantes pour les services de renseignement américains. Ces possibilités de recours garanties par l’EO 14086 constituent la véritable nouveauté du Data Privacy Framework, et sont destinées à répondre aux préoccupations européennes, dans un contexte où l’absence de mécanismes de recours appropriés avait largement fondé la décision de la CJUE d’invalider le Privacy Shield. Il faut toutefois souligner que ce droit au recours n’est offert qu’aux citoyens des pays désignés comme « États admissibles » par l’Attorney General des États-Unis. Celui-ci doit en effet décider, avant d’accorder ce droit au recours aux citoyens européens, si la législation européenne en matière de collecte de données et de surveillance respecte suffisamment le droit à la vie privée des citoyens américains.
A la suite de l’adoption de l’Executive Order 14086, la Commission européenne a publié, le 13 décembre 2022, un projet de décision d’adéquation prenant en considération les garanties supplémentaires et le droit au recours désormais prévus par la législation américaine. Comme cela avait été le cas pour le Privacy Shield, ce projet de décision d’adéquation fait l’objet de réserves et de critiques. En particulier, l’EDPB a rendu, le 28 février 2023, un avis non obligatoire, mais réservé. Certes, l’EDPB relève les améliorations substantielles apportées par le Data Privacy Framework et l’EO 14086. Cependant, il estime souhaitable de clarifier un certain nombre de dispositions relatives, par exemple, à la conservation des données. Il regrette, en outre, que la collecte de masse ne soit pas soumise à l’exigence d’une autorisation préalable par un organe indépendant. L’EDPB insiste, par ailleurs, sur le fait que la procédure d’autorisation fondée sur la section 702 FISA n’est en rien modifiée : la FIS Court ne fait qu’autoriser globalement les programmes de surveillance sans être sollicitée sur la détermination des cibles, ce qui signifie que la législation américaine ne permet pas un contrôle effectif de cette surveillance par une autorité judiciaire indépendante. Enfin, si la création de la nouvelle Data Protection Review Court est bienvenue, les conditions de sa saisine doivent être clarifiées, à commencer par la condition selon laquelle les droits du demandeur doivent avoir été atteints (« adversely affected ») pour pouvoir déposer plainte.
De son côté, la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a estimé, dans un avis du 13 avril 2023, que le Data Privacy Framework n’offrait pas de garanties suffisantes pour les citoyens de l’UE. Le 11 mai 2023, dans une résolution adoptée en séance plénière, les députés européens ont affirmé que le nouveau cadre de protection des données UE–États-Unis ne crée pas d’équivalence substantielle du niveau de protection et invite la Commission à poursuivre les négociations. Le texte relève, entre autres choses, que les règles relatives à la conservation des données sont floues et la collecte en masse de données personnelles toujours permise dans certains cas, sans être soumise à une autorisation préalable indépendante. La résolution souligne également que la nouvelle DPRC rendra des décisions confidentielles, que les juges de la cour pourront être révoqués par le Président des Etats-Unis, et que celui-ci pourra également annuler ses décisions, de sorte que la Cour n’est pas vraiment indépendante. Si cette résolution du Parlement ne lie pas la Commission, elle est toutefois importante politiquement.
La Commission européenne doit maintenant obtenir l’approbation d’un comité composé de représentants des 27 États membres de l’UE. L’adoption de la décision requiert l’approbation de 55% des Etats membres de l’UE représentant au minimum 65% de la population de l’UE soit au moins 15 Etats membres sur 27. La minorité de blocage doit réunir au moins 4 Etats membres du Conseil représentant au moins 35% de la population de l’UE. Fin mai, la Commission a confirmé que la nouvelle décision d’adéquation était attendue pour l’été 2023. Il ne serait toutefois pas impossible que cette décision d’adéquation, une fois adoptée, fasse l’objet d’une nouvelle invalidation par la Cour de Justice. Maximilian Schrems a d’ores et déjà annoncé vouloir la contester.
Au final, la solution serait peut-être, pour les entreprises concernées, de renoncer à transférer les données aux Etats-Unis et de les traiter en Europe. Comme l’expliquent Anupam Chander et Joe Jones , Microsoft a fait ce choix pour certains de ses services dans le cadre du projet EU Data Boundary. De même, Tik Tok, qui a lancé le projet Texas pour être en mesure de traiter aux Etats-Unis les données collectées aux Etats-Unis, serait sur le point de faire de même en Europe avec le projet Clover. Cette option n’est toutefois pas la plus aisée à mettre en oeuvre pour des entreprises intégrées qui fonctionnent de manière globale.
Florence G’sell est professeur de droit privé et titulaire de la Chaire Digital, Gouvernance et Souveraineté.