Logo
Thématique
Economie, emploi et travail
Politiques, institutions et démocratie
Libertés publiques et éthique
Inclusion numérique et solidarité

Commmuniqué de presse

Arrêt Schrems II : Renaissance Numérique appelle les institutions européennes à sortir de l’impasse

Arrêt Schrems II : Renaissance Numérique appelle les institutions européennes à sortir de l’impasse

  • COMMMUNIQUÉ DE PRESSE

TÉLÉCHARGER LA NOTE [version française]

DOWNLOAD THE NOTE [English version]

READ THE PRESS RELEASE [English version]

 

Une période d’incertitude juridique qui perdure depuis le 16 juillet 2020

Le 16 juillet 2020, dans son arrêt dit “Schrems II”, la Cour de justice de l’Union européenne a invalidé l’accord encadrant les transferts transatlantiques de données - le Privacy Shield. Dans ce cadre, la Cour a estimé que cet accord n’apportait pas les garanties suffisantes pour la protection des données personnelles des citoyens européens. Au-delà de son caractère historique, cette décision a, depuis, plongé nombre d’acteurs européens dans une période d’incertitude et d’insécurité juridique. Non seulement cette décision n’offre pas aux acteurs de délai de grâce leur permettant de l’analyser et de prendre les mesures adéquates, le cas échéant, mais elle est également rétroactive. Au-delà des futurs transferts internationaux de données, la conformité de tous les transferts opérés sous le Privacy Shield depuis 2016 doit ainsi être réévaluée, remettant en question une multitude de contrats actuels. Dans la lignée de cet arrêt, une vague de premières plaintes ont déjà été déposées, dont plusieurs à l’encontre d’entreprises françaises, alors même que la Commission européenne est en train de mettre à jour les clauses contractuelles types - outils à la disposition des acteurs pour encadrer ces transferts internationaux -, et que ses travaux devraient être finalisés en mars. 

Une interprétation stricte par les régulateurs qui pèse lourdement sur les acteurs

À la suite de cette décision, l’European Data Protection Board (EDPB), qui réunit les autorités nationales de protection des données, a publié une série de recommandations pour garantir le respect du niveau de protection des données personnelles de l'UE, dans le cadre de transferts internationaux de données. S’il est important de saluer le fait que cette démarche ait eu lieu au niveau européen, afin d’assurer l’harmonisation du cadre régional à l’heure où les autorités nationales sont saisies par différentes plaintes à travers l’Europe, ces recommandations apparaissent toutefois difficilement applicables. L’EDPB retient notamment des critères extrêmement stricts qui viennent se confronter à la réalité même des cadres nationaux européens : très peu de pays atteignent, en effet, le niveau des exigences portées par le comité européen, y compris les États membres, dont la France.

Une décision qui dépasse le seul champ de la protection des données personnelles

Au-delà de leur caractère strict, ces recommandations semblent omettre le principe essentiel de la hiérarchie des normes, qui est à la base du droit. Derrière l’arrêt Schrems II, apparaît un conflit de souveraineté entre États : est ici interrogé l'accès des gouvernements à des données qui sont protégées par d’autres droits. Aucun acteur ne peut promettre officiellement qu’il dérogera aux lois souveraines qui s’imposent à lui. Par ailleurs, cette décision soulève également la question des équilibres entre droits fondamentaux, entre les lois de surveillance et de protection de la vie privée. L’Union européenne invoque le Règlement général sur la protection des données (RGPD), là où d’autres États mettent en jeu leur sécurité nationale. La balance entre la sécurité et la liberté ne s’arbitre pas dans le RGPD, qui est un texte sur les libertés. Cela relève d’une analyse de la conformité à la Convention européenne des droits de l’homme. Cet équilibre pose d’autant plus de questions à l’heure où les approches quant à la sécurité nationale divergent entre États européens et que les initiatives législatives visant à organiser l’accès des autorités publiques aux données chiffrées se multiplient à travers l’Union européenne. Dès lors, l’interprétation de cette décision dépasse le seul champ d’expertise des autorités de protection des données, qui ne sont ni des constitutionnalistes, ni des spécialistes de l’antiterrorisme.  À ce titre, la décision de la Cour de justice de l’Union européenne offre une marge de manœuvre pour garantir cet équilibre et son applicabilité. 

À défaut d’un délai de grâce, vers une “méthode de grâce” ?

En l’absence de période de grâce officielle, Renaissance Numérique invite à poser les conditions d’une “méthode de grâce” partagée entre les acteurs : une approche proportionnée, fondée sur la diligence des acteurs et l’analyse des risques, permettant de proposer des exigences opérationnelles et de réduire le risque de sanctions précipitées, tant que la doctrine européenne et les outils (clauses contractuelles types modifiées) ne seront pas stabilisés et entrés en vigueur. La décision de la CJUE n’est pas binaire et offre une palette de contextualisation pour analyser les transferts de données au cas par cas. Cette méthodologie devrait en particulier tenir compte de la sensibilité des données transférées, de la présence ou non d’une finalité de surveillance régalienne sur certaines données, de l’inadéquation de mesures techniques dans certains cas, de la complexité des chaînes de traitement, etc. Cette étape intermédiaire permettrait de ne pas rester dans l’impasse, en attendant la conclusion d’un nouvel accord international robuste. À l’heure où les États sont en conflit de souveraineté dans le champ numérique, la résolution, à terme, ne pourra, en effet, passer que par la signature d’un nouvel accord avec les États-Unis dans le respect de l’arrêt de la Cour. Alors que régulateurs et entreprises se renvoient la responsabilité, la situation perdure au risque de fragiliser nombre d’acteurs. Renaissance Numérique appelle la Commission européenne et l’exécutif européen à ouvrir une concertation avec les parties prenantes, afin que l'interprétation qui est faite de la décision de la Cour de justice de l’Union européenne donne lieu à une mise en œuvre harmonisée au sein de l’Union européenne. Ce dialogue devrait permettre aux instances européennes de réunir les expertises pertinentes, au-delà du seul champ de la protection des données - spécialistes du droit constitutionnel, du droit international et des questions de sécurité notamment -, et de définir des standards conformes à nos valeurs. 

 

TÉLÉCHARGER LA NOTE [version française]

DOWNLOAD THE NOTE [English version]

READ THE PRESS RELEASE [English version]