Défis et solutions dans la protection des données du Cloud en UE

Partie 1. Les enjeux de la protection des données dans l’hébergement en Cloud Computing

Comme vu précédemment, l’utilisation du Cloud Computing reposant sur des data centers répartis dans différents pays, il n’est pas simple de s’assurer que les données collectées dans l’Union Européenne restent bien stockées sur le territoire européen.

Il convient à ce titre de s’intéresser dans un premier temps aux mesures juridiques mises en œuvre par l’Union Européenne pour encadrer les transferts de données personnelles à l’étranger ( Chapitre 1 ), avant de voir quels sont les risques découlant du transfert de données personnelles à l’étranger ( Chapitre 2 ).

Chapitre 1. L’encadrement juridique des transferts de données personnelles à l’étranger

L’encadrement juridique des transferts de données personnelles est tout d’abord principalement influencé par les décisions de la Cour de Justice de l’Union Européenne et de la Commission Européenne ( Section 1 ) mais également régi par le Règlement Général sur la Protection des Données ( Section 2 ).

Section 1. Les évolutions législatives et jurisprudentielles sur les transferts des données personnelles à l’étranger

Au sein de l’Union Européenne les transferts de données personnelles vers l’étranger sont encadrés par des accords avec les Etats tiers destinataires de données.

En matière de Cloud les accords les plus emblématiques sont les différents accords transatlantiques de protection des données personnelles entre l’Union Européenne et les Etats-Unis ( A ).

Ces multiples accords ont été marqués par des décisions successives de la CJUE, invalidant l’adéquation de la protection accordée aux données personnelles ( B ).

A. Les accords transatlantiques de protection des données personnelles

Comme évoqué précédemment, les Etats-Unis n’ont pas de réglementation fédérale relative à la protection des données. La législation en matière de protection des données est composée d’un « patchwork » de lois fédérales et de lois d’États fédérés. A contrario, l’Union

Européenne considère dans sa Charte des droits fondamentaux, la protection des données personnelles comme un droit fondamental et que garantir un niveau élevé de protection des données permet de préserver la vie privée, la liberté d’expression et le droit à l’autodétermination informationnelle.

Le RGPD et sa prédécesseure la directive 95/46/CE, exigent un niveau de protection adéquat des données personnelles pour pouvoir transférer des données personnelles vers un pays tiers. Ainsi, pour garantir que les données personnelles des résidents européens soient traitées conformément aux principes du RGPD, les transferts de données ne peuvent avoir lieu que si les législations des pays tiers offrent un niveau de protection équivalent à celui de l’UE 28 .

Ces enjeux de protection des données sont depuis les années 90 au cœur des relations entre l’Europe et les Etats-Unis. Les deux côtés de l’Atlantique Nord tentent de parvenir à un accord permettant d’encadrer la transmission de données avec des standards de sécurité suffisamment importants pour empêcher au maximum l’ingérence étrangère. L’UE et les Etats-Unis ont adopté successivement plusieurs accords transatlantiques de transmission des données, le Safe Harbor Agreement en 2000 ( §1 ), le Privacy Shield en 2016 ( §2 ) et le Data Privacy Framework de 2023 ( §3 ).

Chronologie résumée :

• 1995 : Adoption de la directive 95/46/CE
• 1998 – 2000 : Adoption du Safe Harbor Agreement
• 2015 : La CJUE invalide le Safe Harbor Agreement (Schrems I) 2016 : Adoption du Privacy Shield
• 2020 : La CJUE invalide le Privacy Shield (Schrems II) 2023 : Adoption du Data Privacy Framework

²⁸ Article 25, Directive 95/46/CE.

§1. Le Safe Harbor Agreement

Le Safe Harbor Agreement est un ensemble de principes adoptés entre 1998 et 2000, permettant aux organisations et entreprises américaines de se conformer aux exigences européennes en matière de protection des données personnelles 29 et d’autoriser le transfert de données personnelles entre l’Union Européenne et les Etats-Unis.

Sous le Safe Harbor les entreprises américaines pouvaient s’auto-certifier annuellement auprès du Département du Commerce, en respectant 7 principes de bases :

1. Notification : les personnes concernées doivent être informées des finalités de traitement des données, des coordonnées de l’entreprise, des tiers destinataires des données.
2. Bénéfice du choix : l’entreprise doit permettre aux individus de refuser que leurs données personnelles soient communiquées à des tiers et/ou qu’elles soient utilisées pour des fins incompatibles avec les fins pour lesquelles elles ont été recueillies à l’origine.
3. Transfert à des tiers : Lors du transfert de données à des tiers, les entreprises doivent s’assurer que les tiers garantissent un niveau de protection des données équivalent.
4. Sécurité : L’entreprise doit prendre les précautions nécessaires pour les protéger de la perte, l’accès non autorisé, la divulgation, l’altération et la destruction.
5. Intégrité des données : L’entreprise doit s’engager à n’utiliser les données collectées que dans le but pour lequel l’utilisateur a donné son accord. Des mesures raisonnables doivent être mises en œuvre pour s’assurer que les données sont fiables, exactes, complètes et à jour.
6. Accès aux données : Les individus doivent pouvoir avoir accès aux informations les concernant. Ils peuvent demander leur correction, leur modification et leur suppression.
7. Application : Les entreprises doivent tout mettre en œuvre pour garantir que ces règles sont effectivement appliquées et doivent en contrôler le respect.

Avant son invalidation par la CJUE, 4500 entreprises étaient enregistrées sur la liste du Safe Harbor. L’absence de contrôle effectif des enregistrements réalisés laissait croire que les entreprises pouvaient librement faire des déclarations au Safe Harbor sans pour autant respecter effectivement les principes du Safe Harbor. A titre d’exemple, en 13 ans la Federal Trade Commission 30 n’a enclenché des actions que pour 10 entreprises 31 .

²⁹ La directive 95/46/CE interdisant le transfert de données personnelles vers des Etats non membres de l’UE dont le niveau de protection des données personnelles était considéré comme inférieur à celui de l’UE.

En 2015, deux ans après le scandale de la NSA, la Cour de Justice de l’Union Européenne invalide le « Safe Harbor Agreement », estimant que l’accord ne répondait pas aux standards européens en matière de protection des données personnelles notamment à cause des programmes de surveillance américains 32 .

Afin de répondre rapidement à cette incertitude juridique et aux nécessités commerciales, le 2 février 2016 l’Union Européenne et les Etats-Unis instaurent un nouvel accord de principe : Le Privacy Shield, censé encadrer plus strictement l’accès des autorités américaines aux données personnelles.

En parallèle, le Data Privacy and Protection Agreement (DPPA) est conclu afin de mieux protéger les échanges d’informations personnelles durant les procédures judiciaires et le U.S. Judicial Redress Act 33 étend les dispositions du U.S. Privacy Act de 1974 aux citoyens de l’Union Européenne.

§2. Le Privacy Shields

En remplacement du Safe Harbor, le Privacy Shield est adopté le 29 février 2016. Le nouveau cadre est nettement plus long et plus détaillé que le Safe Harbor. Les principes du bouclier de protection de la vie privée comprennent sept catégories distinctes : transparence, consentement, limite de la finalité, minimisation des données, exactitude des données, sécurité des données, accès.

Le Privacy Shields comprend également un ensemble supplémentaire de principes qui comprennent des dispositions relatives aux données sensibles, à la responsabilité secondaire, au rôle des autorités de protection des données, aux données relatives aux ressources humaines, aux produits pharmaceutiques.

³⁰ Autorité en charge du contrôle de ce programme

³¹ WEISS (M. A.), ARCHICK (K.) U.S.-EU Data Privacy: From Safe Harbor to Privacy Shield. Congressionnal Research Service, 2016, 7–5700.

³² CJUE, Jugement du 6 octobre 2015, Schrems I, C-362/14, ECLI:EU:C:2015:650.

³³ United States Judicial Redress Act of 2015, 5 U.S.C. §552a

Contrairement au Safe Harbor, le Privacy Shield contient des engagements de la part du gouvernement américain et des différentes administrations impliquées 34 , concernant les protections accordées par le Privacy Shield aux données des citoyens de l’UE.

Avant son adoption, en janvier 2016, le groupe de travail sur l’article 29 avait émis des critiques sur le contenu du Privacy Shields 35 . Parmi elles le fait que le Privacy Shields n’exclut pas la collecte massive et indiscriminée de données à caractère personnel provenant de l’UE et qu’il ne propose pas de mécanismes de recours effectifs

Le Groupe 29 avait dès lors recommandé qu’à la lumière de l’adoption formelle par l’UE du nouveau règlement général sur la protection des données en avril 2016, le Privacy Shield devrait contenir des dispositions permettant de l’adapter aux normes plus strictes du RGPD en matière de protection des données (par rapport à la directive 95/46/CE de l’UE sur la protection des données) lorsqu’elles entreront en vigueur au printemps 2018.

Dans la continuité de ces doutes évoqués par le Groupe 29, l’adéquation du Privacy Shields sera invalidée en 2020 dans le cadre de l’arrêt Schrems II, la CJUE a invalidé le EU-US Privacy Shield, au motif que cet instrument n’offre pas un niveau suffisant de protection des données personnelles à la lumière du droit de l’Union, notamment compte tenu des mesures de surveillance à disposition des autorités américaines. Le raisonnement de la Cour ayant mené à une telle décision fera l’objet de développements plus approfondis dans la partie B.

Pendant plus de trois ans, les entreprises européennes et étrangères soumises au RGPD ont dû composer avec les possibilités laissées par le RGPD pour transférer légalement des données d’européens vers les Etats-Unis. Ce n’est qu’en 2023 qu’une nouvelle décision d’adéquation a été adoptée à la surprise générale et laissant de nombreuses interrogations quant à sa pérennité.

³⁴ Voir Privacy Shield Framework – Oversight and Enforcement by the U.S. Government: https://www.privacyshield.gov/ps/eu-us-framework

³⁵ Groupe de travail « Article 29 » sur la protection des données, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, 2016 (16/EN WP 238)

§3. Le Data Privacy Framework

Le 10 juillet 2023, la Commission européenne a validé le nouvel accord de transfert transatlantique de données, le Data Privacy Framework. En réponse à l’incertitude qui a provoqué l’échec des précédents accords, le cadre de protection des données limitera l’accès aux « objectifs de sécurité nationale » et introduit un système de recours permettant aux citoyens européens de faire appel auprès de responsables du renseignement américain ou de tribunaux indépendants établis par le ministère américain de la Justice 36 .

Cet accord repose sur l’ « Executive Order on enhancing safeguards for United States Signals Intelligence Activities » du 7 octobre 2022, qui ne vient pas amender les lois de surveillance américaines existantes mais vient mettre en place des garanties supplémentaires reposant sur deux aspects principaux :

Les garanties :

Le décret prévoit l’application de garanties aux « signals intelligence activities » (SIA) en établissant une série de principes généraux. Il définit ensuite les objectifs légitimes pour lesquels ces SIA peuvent être entreprises et inclut également des exigences lorsque les agences de renseignement traitent des données à caractère personnel. Les principes font explicitement référence à la « nécessité » et à la « proportionnalité » rappelant les concepts clés de la jurisprudence de la CJUE dont la mention semble être une démarche intentionnelle pour répondre aux critiques de la CJUE ;

Les voies de recours :

Le décret vient créer un mécanisme de recours à deux niveaux. Au premier niveau, les personnes concernées peuvent, par l’intermédiaire d’une autorité publique appropriée, déposer une plainte auprès du « Civil Liberties Protection Officer of the Office of the Director of National Intelligence » (CLPO), nouvellement créé et indépendant. Au deuxième niveau, la décision du CLPO peut être déférée à la « Data Protection Review Court » (DPRC), dont le décret donne mandat au procureur général des États-Unis pour la mettre en place. Enfin, les décisions du CLPO et du DPRC sont contraignantes pour les agences de renseignement américaines, et les mécanismes de recours ne sont disponibles que pour les personnes concernées dans les pays désignés comme « États admissibles » par le procureur général des États-Unis 37 .

³⁶ PIQUARD (A.), « Europe – Etats-Unis : l’accord transatlantique controversé de transfert des données validé par Bruxelles », Le Monde, 2023.

Malgré ces nouvelles garanties prometteuses en matière de voie de recours, l’accord a été vivement critiqué dès son adoption notamment par la célèbre association de défense de la vie privée NOYB 38 . Celle-ci a notamment avancé que la « Cour » prévue par ce nouveau décret n’était en réalité pas un tribunal mais un organe exécutif partiellement indépendant, avec laquelle les individus ne pourront avoir aucune interaction directe et dont la réponse serait connue d’avance puisque celle-ci doit en tout état de cause répondre : « Sans confirmer ou infirmer que le plaignant a fait l’objet d’activités de renseignement d’origine électromagnétique de la part des États-Unis, l’examen n’a pas identifié de violations couvertes ou la Cour d’examen de la protection des données a rendu une décision exigeant des mesures correctives appropriées » 39 .

Par la même occasion l’association a annoncé qu’un troisième recours devant la CJUE était prêt à être déposé selon diverses options procédurales, dès que l’accord commencera à être mis en œuvre par les entreprises. Il sera alors l’occasion d’observer si la CJUE prendra la décision d’invalider le nouvel accord dans la continuité de ses décisions précédentes, ou bien si ce nouvel accord restera en vigueur.

B. Le raisonnement jurisprudentiel de la CJUE

A travers différentes affaires la CJUE a été amenée à se prononcer sur des questions de communications de données d’européens par des entreprises sur demande d’autorités étatiques. L’argumentation de la Cour permet d’observer le niveau d’ingérence étrangère qu’elle est prête à tolérer en matière de protection des données.

Il faut tout d’abord citer l’une des affaires les plus célèbres en matière de protection des données en Europe, l’affaire Schrems I 40 . En 2015, un juriste autrichien Maximilian Schrems saisi le Data Protection Commissioner 41 d’une demande d’enquête concernant le transfert, vers des serveurs situés aux Etats-Unis, de données personnelles des utilisateurs de Facebook résidant sur le territoire de l’Union. Le DPC avait alors rejeté la requête au regard de la décision 2000/520 (décision validant l’adéquation du Safe Harbor) de la Commission européenne selon laquelle les Etats-Unis assurent un niveau de protection adéquat des données personnelles

. A la suite de ce rejet, M. Schrems introduisit un recours contre cette décision devant la High Court 42 .

Celle-ci considéra qu’au regard du droit interne irlandais, l’accès aléatoire et généralisé aux données personnelles par les autorités américaines soulève de sérieuses questions sur le niveau de protection de ces données garanti par les États-Unis justifiant dès lors une intervention du DPC sur le fondement de l’article 8 de la Charte des droits fondamentaux 43 et de l’article 28 de la directive n° 95/46/CE 44 .

Puisque cette interprétation se heurtait à la décision d’adéquation de la Commission Européenne, la juridiction décida de formuler un renvoi préjudiciel devant la CJUE. Dans son arrêt du 6 octobre 2015, la Cour répondra d’une part aux questions par la juridiction irlandaise et d’autre part, examinera la conformité de la décision d’adéquation n°2000/520.

³⁷ DADDAR (S.), « Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities: Paving the way toward adequacy », Data Protection Report, 2022.

³⁸ « La Commission européenne soumet les transferts de données entre l’UE et les Etats-Unis à un troisième examen par la CJUE », Noyb, 2023.

³⁹ Executive Order « Enhancing safeguards for United States signals intelligence activities ». E.O. 14086 of Oct 7, 2022.

⁴⁰ CJUE, Jugement du 6 octobre 2015, Schrems I, C-362/14, ECLI:EU:C:2015:650.

Le 6 octobre 2015, la CJUE décida :

• Les Data Protection Authorities (DPA) nationales ont la compétence pour examiner en toute indépendance, les requêtes concernant la protection des droits et libertés des personnes en lien avec le traitement de données personnelles. Ils peuvent apprécier la conformité du traitement avec la directive et la Charte des droits fondamentaux de l’UE.
• D’invalider le Safe Harbor Agreement : En rappelant que l’article 25 de la directive exige que la Commission Européenne examine le droit national ou l’engagement international d’un pays tiers avant de déterminer leur adéquation.

Le fait que les entreprises américaines sont tenues d’ignorer sans limitation les principes du Safe Harbor en cas de conflit avec les lois de sécurité nationales, permet des interférences sur les droits fondamentaux des personnes concernées de la part des autorités américaines.

⁴¹ Autorité Irlandaise de contrôle de la protection des données

⁴² Haute Cour de Justice en Irlande

⁴³ Art. 8 : Toute personne à droit à la protection des données personnelles la concernant.

⁴⁴ Article relatif aux autorités publiques de chaque Etat membre, chargées de surveiller l’application de la directive.

Un peu plus d’un an plus tard, la CJUE a réitéré sa position sur les risques de rétention de données par les autorités, dans l’affaire Digital Rights Ireland 45 suivie des arrêts rendus le 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15). Dans cette série d’arrêts la Cour de justice a estimé que la conservation de métadonnées et de données relatives aux communications électroniques constitue une atteinte particulièrement grave aux droits consacrés à l’article 7 (protection de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE. Dans ces affaires, le cœur des débats portait sur des législations 46 posant l’obligation générale et indifférenciée de stockage des données de communications électroniques, sur les lois régissant la transmission éventuelle de ces données par les prestataires de services aux autorités dans le but de lutter contre la criminalité grave.

La Cour a systématiquement mis l’accent sur le respect du principe de proportionnalité en affirmant que « prises dans leur ensemble, ces données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci » 47 .

Enfin, dans l’arrêt Schrems II 48 , à l’occasion de l’invalidation par la Cour du Privacy Shield au motif que celui-ci n’offre pas un niveau suffisant de protection des données personnelles au regard du droit de l’Union, la Cour a rappelé que « le droit de ce pays tiers ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa réglementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences » (point 168).

⁴⁵ Jugement du 8 avril 2014, Digital Rights Ireland Ltd, C-293/12 et C-594/12, ECLI:EU:C:2014:238

⁴⁶ Notamment les législations de transposition Suédoise et Britannique de la directive 2006/24/CE.

⁴⁷ Conclusion de l’Avocat général Cruz Villal dans l’affaire Digital Rights Ireland

⁴⁸ CJUE, Jugement du 16 juillet 2020 Schrems II, C-311/18, ECLI:EU:C:2020:559

Arrêt après arrêt, il semble que la Cour construit ainsi un rempart afin de défendre des valeurs menacées par des lois d’exceptions au nom de la lutte contre le terrorisme et la criminalité grave. Son raisonnement ne semble pas différent qu’il s’agisse d’ingérences fondées sur les réglementations d’Etats membres ou d’États tiers. Pour la CJUE, le niveau de protection instauré par les réglementations de protection des données doit être assuré conformément aux articles 47 49 et 52 50 de la Charte des droits fondamentaux de l’Union européenne.