Le RGPD et au-delà : la circulation internationale des données personnelles

La mise en œuvre interne du RGPD est en cours alors que les enjeux de la circulation internationale des données personnelles deviennent de plus en plus cruciaux. De grands dossiers sont sous les feux de l’actualité. La Cour de Justice de l’Union européenne doit statuer pour éclairer le Conseil d’Etat sur le point de savoir si le déréférencement doit s’opérer sur l’ensemble des extensions nationales du moteur de recherche Google, par souci d’efficacité de ce nouveau droit qui est un aspect du droit à l’oubli, y compris hors du champ d’application territorial du droit de l’UE. Faisant écho à cet enjeu, le RGPD a pour particularité de prévoir un champ d’application large, limitant les possibilités de se soustraire aux obligations européennes.

Les données personnelles représentent par ailleurs un enjeu stratégique pour le commerce international dans le contexte du développement de l’économie et de la société numériques, avec des flux qui ne cessent de croître. Les données accompagnent le commerce et peuvent aussi être objet du commerce jusqu’à être incorporées au produit ou au service. Le fait récent le plus marquant, c’est le processus dans lequel l’UE et le Japon se sont engagés en juillet pour créer le plus vaste espace de circulation de données au monde en toute sécurité. La démarche est novatrice aussi dans la mesure où elle va de pair avec la conclusion de l’accord de partenariat économique, mais elle reste autonome car les règles de protection des données ne sont pas négociables dans le cadre d’un accord commercial.

La circulation des données personnelles n’est pas chose facile car leur protection est différenciée et faible dans le monde. Par contraste avec le niveau élevé de protection promu par le RGPD dans l’Union, la majorité des pays sont sans législation, ou dotés d’une législation incomplète ou inadéquate.

Comment faire pour aller vers plus de convergence en promouvant les valeurs européennes ? La recette de l’Union repose sur une fusée à trois étages. Les transferts sont possibles sur la base des décisions d’adéquation ou à défaut sur la base d’autres garanties appropriées et dérogations.

Le premier étage est l’instrument essentiel, ce sont les décisions d’adéquation par lesquelles la Commission européenne reconnaît qu’un pays assure une protection adéquate.

L’adéquation, synonyme d’équivalence, peut être partielle (Privacy Shield pour la circulation des données d’Europe vers les Etats-Unis), voire sectorielle (la finance par exemple), mais en tout cas il y a peu d’élus : Suisse, Andorre, Iles Feroe, Guernesey, Jersey, Ile de Man, Argentine, Canada, EU, Israël, Nouvelle Zélande, Uruguay.

Les autres garanties appropriées empruntent la voie contractuelle : règles d’entreprises contraignantes pour les entreprises d’un même groupe ou participant à des activités conjointes, clauses types. S’y ajoutent aussi les codes de conduite, la certification.

Si les données ont vocation à circuler, des tensions apparaissent dès lors que la frontière entre traitement des données à des fins commerciales et sécuritaires devient perméable. L’affaire Max Shrems en est la meilleure illustration. Elle a pour origine la découverte que certaines données personnelles étaient transférées par Facebook, sans filet, depuis l’Irlande vers les Etats-Unis, où elles étaient accessibles aux autorités américaines dans le contexte notamment de la lutte contre le terrorisme. L’issue de l’affaire a été l’invalidation spectaculaire du Safe harbor, dispositif qui organisait le transfert des données de l’Union vers les Etats-Unis.

D’autres questions de souveraineté viennent contrarier la circulation souhaitée. Ce sont bien sûr les exigences de localisation des données mais aussi les législations permettant d’accéder aux données où qu’elles se trouvent comme le Cloud Act américain. Ce texte autorise les autorités américaines à accéder aux données personnelles traitées par leurs entreprises à l’intérieur et à l’extérieur des Etats-Unis. On peut y voir une forme d’ingérence ou d’impérialisme numériques, transformant le cyberespace en un terrain où s’affrontent des souverainetés.

Certaines craintes s’avèrent alors être légitimes, en particulier celles de voir des pays moins démocratiques œuvrer pour que ce soit leurs lois qui régulent l’information de manière globale ou pour retourner les nôtres contre nous-mêmes. Crainte mais aussi argument d’une entreprise comme Google lorsqu’elle refuse l’obligation qui lui est faite par la CNIL de déréférencer à l’échelle mondiale. Le risque serait que des gouvernements autoritaires s’appuient sur un tel principe pour porter atteinte à la liberté d’expression en demandant l’effacement de tel ou tel lien. L’argument est contestable et bien connu depuis les débuts de l’histoire d’Internet.

NB : les opinions de l’auteur ne sauraient engager le CNNum

Annie Blandin
Professeur à IMT Atlantique
Membre du CNNum

A propos de Annie Blandin

Diplômée de Sciences Po, docteur en droit, droit public, droit communautaire, Annie Blandin assure la responsabilité de la filière d’enseignement de dernière année Ingénierie des services et des affaires à IMT Atlantique (Département Systèmes Réseaux Cybersécurité et Droits du Numérique). Elle est aussi responsable de l’équipe de recherche Droit et stratégies du numérique. Cette spécialiste du droit du numérique est l’auteur de multiples publications portant notamment sur la régulation européenne du marché des communications électroniques et le droit européen de l’Internet et des nouveaux médias. Dans le cadre de ses recherches, elle s’intéresse également aux problématiques liées à la protection des données personnelles et de la vie privée, au droit à l’oubli et à l’effacement des données, à la circulation internationale des données à la lumière des enjeux de la souveraineté numérique.

X
X