(*) Sur le fil… du projet de recherche IFITIS (IUF senior 2016-2021 sur « La circulation totale au-delà du contrôle » (http://www.universitates.eu/jsberge/?p=25673)

Extrait de l’ouvrage « Les situations en mouvement et le droit« , en préparation pour 2021 (Editions Dalloz).

(…)

Le transfert transatlantique de données à caractère personnel

En matière de transfert transatlantique (Union européenne – Etats-Unis) de données à caractère personnel, les solutions juridiques ont varié. Sans entrer ici dans le détail du dispositif, on peut rappeler la chronologie suivante :

– les transferts transatlantiques de données à caractère personnel ont été autorisés par la Commission de l’Union européenne sur le fondement du dispositif dit du « safe harbor » (Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique) ;

– cette décision a été invalidée par la Cour de justice de l’Union européenne (CJUE, gde ch., 6 oct. 2015, C-362/14, Schrems I) ;

– un nouveau dispositif dit « privacy schield » a été aménagé pour se substituer au système précédent (Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis) ;

– ce dispositif a été à son tour largement annulé par la la Cour de justice de l’Union européenne (CJUE, gde ch., 16 juillet 2020, C311-18. Schrems II) ;

– dans le contexte particulier des mesures prises notamment en France pour faire face à l’épidémie de covid-19, le système de collecte des données de santé a été adapté (Arrêté du 10 juillet 2020 prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid-19 dans les territoires sortis de l’état d’urgence sanitaire et dans ceux où il a été prorogé, article 30) ; ce texte a été récemment complété, au visa notamment de la décision Schrems II (préc.), avec la précision suivante : « Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne » (Arrêté du 9 octobre 2020).

Si l’on se pose la question de savoir si ces variations juridiques ont eu une réelle incidence sur les flux transatlantiques de données, force est de constater qu’il est extraordinairement difficile de mesurer, avec un minimum de précision, la quantité des flux de données qui circulent sur ces périodes entre les deux continents.

Le flux transatlantique de données à caractère personnel est hors de contrôle par le simple fait que personne n’est en capacité de dire si le changement de l’état de la réglementation a eu ou non un impact significatif sur ces flux. La perte de contrôle se traduit ici au premier chef par une incapacité à mesurer (« monitoring ») le flux.

Mais il y a plus.

Sans grand risque de se tromper, on peut supposer (par hypothèse on ne peut le démontrer, puisque nous venons de voir que la mesure précise n’est pas possible), qu’entre le 6 octobre 2015 (arrêt Schrems I, préc.) et le 12 juillet 2016 (nouvelle décision de la Commission) ou depuis le 16 juillet 2020 (arrêt Schrems II, préc.), la circulation transatlantique des données à caractère personnel… n’a pas subitement diminué ! Les échanges de données sont indispensables à la conduite de la plupart des activités de cette envergure. Et ils continuent naturellement à s’opérer quels que soient les soubresauts juridiques.

Ce qui vaut de manière générale vaut pour les données en matière de santé. Les acteurs vont s’efforcer naturellement de ne pas se faire prendre dans ces opérations de transfert de données hors de l’Union européenne. Mais il faudrait être bien naïf pour croire qu’un simple arrêté est de nature à stopper net les flux dans la sphère des données.