Le 10 juillet 2023, la Commission européenne a adopté sa décision d’adéquation concernant “le cadre de protection des données UE – États-Unis”. Elle conclut que les États-Unis garantissent un niveau de protection adéquat – par rapport à celui de l’UE – pour les données à caractère personnel transférées de l’UE vers des entreprises américaines participant au cadre de protection des données UE – États-Unis.
Pour rappel ce nouveau cadre remplace le dernier cadre le Privacy Shield qui avait été invalidé en juillet 2020 suite aux questions posées à la Cour de justice de l’Union européenne quant au fait que les entreprises américaines donnent accès aux données personnelles qu’elles traitent d’européens aux agences de renseignement américaines et qu’il n’existe pas de mécanisme de recours indépendant pour traiter les demandes et réclamations des européens aux États-Unis. [1]
Le Privacy Shield lui même était d’ailleurs censé répondre aux critiques formulées par la Cour lors de l’invalidation du premier cadre (Safe Harbour) en 2015. [2]
Dans cet article nous analysons les caractéristiques du cadre de protection des données UE-États-Unis.
Quel est impact de cette décision d’adéquation ?
L’impact de cette décision d’adéquation est que tout transfert de données à caractère personnel de personnes localisées sur le territoire de l’Union européenne vers une entreprise américaine participante sera désormais considéré comme équivalent à un transfert intra-européen.
En pratique, une entreprise européenne qui transfère des données à caractère personnel vers une entreprise américaine participante ne devra plus mettre en place de garanties appropriés (telles que des clauses contractuelles type assortie d’une analyse d’impact du transfert de données) ou recourir à des dérogations pour des situations particulières avant d’effectuer un tel transfert.
Elle devra néanmoins toujours respecter le RGPD ce qui implique notamment de devoir évaluer la sécurité des transferts et conclure les contrats nécessaires avec ses sous-traitants ou partenaires avec qui elle partage des données à caractère personnel de personnes localisées dans l’Union européenne.
Comment des entreprises américaines peuvent elles participer au nouveau cadre ?
Les entreprises américaines peuvent certifier leur participation au cadre de protection des données UE – États-Unis en s’engageant à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée. Il peut s’agir, par exemple, de principes de protection de la vie privée tels que la limitation des finalités, la minimisation et la conservation des données, ainsi que d’obligations spécifiques concernant la sécurité des données et le partage des données avec des tiers.
Le cadre sera géré par le ministère américain du commerce, qui traitera les demandes de certification et vérifiera si les entreprises participantes continuent de satisfaire aux exigences en matière de certification. La Commission fédérale du commerce des États-Unis (US Federal Trade Commission) veillera au respect par les entreprises américaines des obligations qui leur incombent en vertu du cadre de protection des données UE – États-Unis. [3]
Quels nouveaux droits sont conférés aux européens dont les données sont traités par des entreprises participantes ?
Le cadre de protection des données UE – États-Unis introduit une Cour chargée du contrôle de la protection des données (Data Protection Review Court – DPRC), à laquelle les citoyens de l’Union auront accès.
Pour qu’une réclamation soit recevable, les personnes concernées peuvent introduire une réclamation auprès de leur autorité nationale chargée de la protection des données, qui veillera à ce que la réclamation soit dûment transmise et à ce que toute autre information relative à la procédure, y compris son issue, soit fournie à la personne concernée.
Dans un premier temps, les réclamations seront examinées par le «délégué à la protection des libertés civiles» de la communauté américaine du renseignement. Cette personne est chargée de veiller au respect de la vie privée et des droits fondamentaux par les services de renseignement américains.
Dans un second temps, les personnes concernées ont la possibilité de former un recours contre la décision du délégué à la protection des libertés civiles devant la Cour chargée du contrôle de la protection des données nouvellement créée (DPRC).
La DPRC est habilitée à enquêter sur les réclamations introduites par des citoyens de l’UE, y compris pour obtenir des informations utiles auprès des services de renseignement, et peut prendre des décisions correctives contraignantes.
Par exemple, si la DPRC constate que des données ont été collectées en violation des garanties prévues par le décret présidentiel, elle peut ordonner la suppression des données. [3]
Quelles sont les garanties prévus dans le cadre juridique américain pour encadrer l’accès par les agences de renseignement ?
Un élément essentiel du cadre juridique américain sur lequel se fonde la décision d’adéquation concerne le décret présidentiel sur le renforcement des garanties pour les activités de renseignement d’origine électromagnétique des États-Unis, signé par le président Biden le 7 octobre et accompagné de règles adoptées par le procureur général des États-Unis. Ces instruments ont été adoptés pour répondre aux questions soulevées par la Cour de justice dans son arrêt Schrems II.
Pour les Européens dont les données à caractère personnel sont transférées vers les États-Unis, le décret prévoit:
- des garanties contraignantes qui limitent l’accès des services de renseignement américains aux données à ce qui est nécessaire et proportionné pour protéger la sécurité nationale;
- un contrôle renforcé des activités des services de renseignement américains afin de garantir le respect des limitations applicables aux activités de surveillance; et
- la mise en place d’un mécanisme de recours indépendant et impartial, qui comprend une nouvelle Cour chargée du contrôle de la protection des données dont la mission est d’examiner et de régler les réclamations concernant l’accès des autorités de sécurité nationale américaines à leurs données. [3]
Quelle est la réaction de Max Schrems et NOYB ?
Il semblerait que Max Schrems qui est l’initiateur de l’invalidation des deux cadre précédents ne soit pas convaincu par le nouveau cadre et les garanties fournies par les États-Unis :
“Nous avons maintenant des “ports”, des “parapluies”, des “boucliers” et des “cadres”, mais aucun changement substantiel dans le droit américain de la surveillance. Les communiqués de presse d’aujourd’hui sont presque une copie littérale de ceux des 23 dernières années. Se contenter d’annoncer que quelque chose est “nouveau”, “robuste” ou “efficace” ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n’est tout simplement pas le cas.” [4]
Dans un futur proche la Cour pourrait être à nouveau saisie au sujet de la validité de celui-ci :
“Nous avons déjà dans nos tiroirs plusieurs options de recours, mais nous en avons assez de ce ping-pong juridique. Nous nous attendons actuellement à ce que la Cour de justice soit à nouveau saisie au début de l’année prochaine. La Cour de justice pourrait même suspendre le nouvel accord pendant qu’elle en examine la substance. Dans l’intérêt de la sécurité juridique et de l’État de droit, nous saurons alors si les minuscules améliorations apportées par la Commission étaient suffisantes ou non. Au cours des 23 dernières années, tous les accords entre l’UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises – il semble que nous venons d’ajouter deux années supplémentaires à ce ping-pong.” [4]
Conclusion
Dans l’état actuel des choses il est conseillé aux entreprises européennes de rester prudentes et de continuer à exiger des garanties suffisantes pour encadrer les transferts de données à caractère personnel vers les États Unis.
Le risque à court ou à moyen terme étant que ce cadre soit à nouveau contesté et annulé dans les mois ou années à venir et plonge les entreprises concernées dans le même désarroi que lors de l’annulation du Privacy Shield. (Risque d’amendes, difficulté à se mettre en conformité dans des délais très courts).
La longévité du nouveau cadre dépendra probablement de l’efficacité réelle des nouveaux moyens de recours mis en place aux États-Unis ainsi que du sérieux avec lequel les entreprises participantes sont contraintes à respecter leurs obligations sous le nouveau cadre.
Pour plus d’informations dans le cadre d’une demande liée à cette thématique, n’hésitez pas à demander un entretien via notre formulaire de contact sur le site web ou écrivant à info@md-lex.be.
[1] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311
[2] https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A62014CJ0362
[3] https://ec.europa.eu/commission/presscorner/detail/fr/qanda_23_3752?mkt_tok=MTM4LUVaTS0wNDIAAAGM5TK-_gMPJYEc6peH3uFfAB9pwWfM9feSzF9GQPlm8IXOYYwLgG7L-wyi6mOM-QYTu2Dq7M0uYgeiB5-gu2zKFgN79BUfieY2W_lcg-27bSyh[1]
[4] https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu