Légalité des transferts de données personnelles vers les États-Unis : Que penser de la nouvelle décision d’adéquation « Data Privacy Framework » ?

Acte III de la saga des transferts vers les États-Unis

Par un communiqué du 10 juillet 2023, la Commission européenne a annoncé avoir adopté une décision d’adéquation portant sur les transferts de données personnelles des citoyens européens depuis l'Union Européenne vers certains organismes américains.

La Commission revisite LA JOURNÉE DE LA MARMOTTE avec ce troisième accord censé valider les transferts de données UE-USA et ainsi briser l’illégalité des transferts transatlantiques de données personnelles et l’insécurité juridique en résultant.

Le décor est planté avec les mêmes acteurs. Les – tristes – rôles vont se jouer dans le même espace de temps, de lieu et d’action : entre l’ONG None Of Your Business (NYOB) sous la houlette de Max Schrems et ses deux arrêts éponymes de la Cour de Justice de l’Union Européenne (CJUE), les instances de régulation, les États et leurs lois de surveillance.

Notre souveraineté ne se dilue pas dans la souveraineté d’un autre. Est souverain ce qui a le pouvoir d’exception. Nous sommes donc suspendus au couperet des executive orders à venir.

Le passage du Code is law au State is law est douloureux : tout rapport de force est régi par des rapports de droit et des enjeux d’articulation entre des intérêts contraires.

Un brin d’histoire :

Rappel du contexte autour des transferts de données personnelles vers les États-Unis

Dès 1995, par la directive 95/46/EC sur la protection des données personnelles (ancêtre du Règlement Général sur la Protection des Données), l'Union Européenne (« UE ») encadrait les transferts de données personnelles vers les pays tiers. En substance, les données ne pouvaient généralement pas être envoyées en dehors de l'UE sauf si le destinataire disposait d’un niveau de protection adéquat.

En 2013, Edward Snowden a révélé que le gouvernement américain utiliserait des entreprises de « big tech » et des programmes de défense afin de procéder à la surveillance massive de citoyens, et ce dans un contexte nullement limité à la criminalité ou au terrorisme, mais dans un contexte plus largement étendu aux « partenaires » des États-Unis.

En 2015, la saga liées aux transferts vers les États-Unis débute avec l’annulation du « Safe Harbor » par la Cour de Justice de l’Union Européenne (« CJUE ») dans l’affaire dite « Schrems I »[1], compte tenu des lois de surveillance américaines.

En 2016, face à l’insécurité juridique qui résulte de cette situation, la Commission européenne adopte le « Privacy Shield » pour encadrer les transferts de données entre l'UE et les États-Unis.

En 2020, la CJUE invalide cette nouvelle décision dans l'affaire dite « Schrems II »[2], considérant notamment que deux textes de la loi américaine, la section 702 du Foreign Intelligence Surveillance Act (FISA) et l’Executive Order 12333, n’étaient pas encadrés de manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit de l’Union en matière de protection des données.

En effet, la Cour a considéré que ces outils permettent l’accès des autorités publiques américaines, de façon particulièrement large et sans ciblage, à des données personnelles transférées de l’Union Européenne vers les États-Unis. Par ailleurs, la Cour précisait également que la législation américaine ne permettait pas aux personnes concernées de bénéficier de droits de recours devant les autorités américaines.

Par conséquent, la Cour en a déduit que le droit américain n’assurait pas un niveau de protection essentiellement équivalent au droit européen relatif à la protection des données à caractère personnel et a déclaré invalide la décision d’adéquation 2016/1250 du Privacy Shield.

En 2023, la Commission Européenne annonce avoir adopté une nouvelle décision d’adéquation, sous le nom de « Data Privacy Framework »

Les nouveautés du Data Privacy Framework

Après une analyse globale de la législation américaine, et notamment le décret exécutif signé par le Président Biden le 7 octobre 2022, la Commission européenne prend acte des nouveaux engagements inscrits au « Data Privacy Framework » et considère que les États-Unis assurent un niveau adéquat de protection des données personnelles.

Conformément aux dispositions de l’article 45 du RGPD, les transferts de données personnelles entre l’Union européenne et les États-Unis sont présumés licites.

A cet effet, le « Data Privacy Framework » prévoit notamment que :

• Les données à caractère personnel pourront circuler librement et en toute sécurité vers les entreprises américaines inscrites sur une liste qui sera rendue publique par le Ministère américain du Commerce (« Federal Trade Commission ») ;
• De nouvelles règles et garanties contraignantes sont mises en place pour limiter l'accès aux données par les autorités de renseignement américaines. Les agences de renseignement américaines adopteront des procédures pour assurer un contrôle efficace des nouvelles normes en matière de protection de la vie privée et des libertés civiles ;
• Les droits des personnes concernées sont renforcés. Ainsi, pour assurer que les individus puissent exercer ces droits, les entreprises certifiées devront mentionner dans leurs politiques de confidentialité un point de contact chargé des traitements des demandes ainsi qu’indiquer un organe indépendant de résolution (« independent dispute resolution body ») gratuit pour les utilisateurs et qui pourra prononcer les sanctions à l’égard des entreprises qui ne respectent pas les principes fondamentaux ;
• Les États-Unis vont créer un nouveau système de recours à deux niveaux pour examiner et résoudre les plaintes des Européens sur l'accès aux données par les autorités de renseignement américaines. Au premier niveau est créé un « Civil Liberties Protection Officier » qui veille au respect de la vie privée et des droits fondamentaux par les services de renseignement américains. Au second niveau, il sera désormais possible de faire appel devant la nouvelle Cour de contrôle de la protection des données (« Data Protection Review Court ») ;
• Des obligations strictes s’appliquent aux entreprises qui traitent des données transférées depuis l'UE, notamment l'obligation de s'auto-certifier et de se déclarer auprès de la Federal Trade Commission.

Un accueil mitigé

En suite de l’adoption du Data Privacy Framework, la CNIL semble avoir donné son blanc-seing à cette décision d’adéquation et précise que « les transferts de données personnelles depuis l'Union européenne vers les organismes peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types» ou un autre instrument de transfert. »[3]

Au niveau européen, il est important de rappeler que le Data Privacy Framework, qui n’était encore qu’un projet, avait reçu un avis – bien que positif – très réservé de la part du Comité Européen de la Protection des Données (CEPD/EDPB)[4] et que le Parlement européen s’y était opposé.

Par ailleurs, à la suite à cette annonce, l’Association NOYB portée par Max Schrems, a immédiatement indiqué qu’un recours contre la décision de la Commission européenne serait réalisé[5].

A cet effet, certains contestent d’ores et déjà notamment d’une part, le fait que les autorités en charge des recours par les citoyens européens soient rattachées non pas au pouvoir judiciaire mais au pouvoir exécutif. D’autre part, est contesté le fait que l’éventuelle décision de rejet d’une plainte formulée devant la Data Protection Review Courtne serait pas motivée par cette dernière, ne permettant ainsi pas utilement au plaignant de connaître les motifs de la cour[6].

L’insécurité juridique vraiment résolue ?

Les États-Unis bénéficient d’une décision d’adéquation rendant tout transfert de données licite à condition que ces transferts soient réalisés vers des entreprises ayant adhéré au « Data Privacy Framework ».

Les responsables de traitement peuvent donc, en théorie, utiliser des services, applications ou logiciels proposés par des entreprises américaines (Cloud, d’analyse Web via des cookies, de gestion bureautique, etc) sans devoir mettre en place des garanties techniques et/ou contractuelles spécifiques pour encadrer les éventuels transferts de données personnelles vers les États-Unis dans ce contexte.

Pour autant, au regard de l’annonce de contestation par l’association NOYB et ainsi, de la fragilité annoncée des transferts vers les Etats-Unis, les responsables de traitement pourraient décider de maintenir le déploiement de mesures supplémentaires compte tenu de la sensibilité de leurs données, de leur secteur, des personnes concernées, ou plus généralement de leur stratégie de souveraineté s’agissant de leur actif informationnel. 

Pour mémoire, conformément à l’article 32 du RGPD, les responsables de traitement et sous-traitants déploient des mesures techniques et organisationnelles adaptées au risque du traitement. 

Les responsables de traitement sont donc à nouveau renvoyés à leurs responsabilités devant la cacophonie qui s’annonce en mode bis repetita avec trois logiques possibles selon la granularité des risques des traitements en cause : CONFIANCE – VIGILANCE – DEFIANCE.

La commission Européenne gagne sans doute du temps, il faudra deux à quatre ans en moyenne pour attendre l’issue des recours annoncés et dans cet interstice, s’essayer à une autonomie dans certains secteurs stratégiques et permettre aux opérateurs économiques de travailler sereinement voire de s’essayer pour quelques happy few aux sand-box et autres bacs à sable réglementaires en matière d’IA.

Certaines guerres économiques ne se gagnent pas frontalement, il s’agit peut-être à ce stade de dépasser les malentendus transatlantiques et d’adopter la politique des petits pas chère à Kissinger.

En pratique, il appartient ainsi aux responsables de traitement et aux organisations de :

• Maitriser plus que jamais leur patrimoine informationnel, de le protéger avec une stratégie juridique adaptée pour contrer par la conformité, le secret des affaires et les mécanismes de  propriété intellectuelle la captation de leurs modèles d’affaires par les plateformes . (Cf le changement des CGU de Google).
• S’assurer du niveau d’adéquation et de la régularité de l’inscription de leurs partenaires au fameux Data Privacy Framework (suivre les FAQ) ;
• Déterminer la stratégie de conformité qu’ils entendent déployer dans ce contexte, entre confiance et/ou une approche de prudence , telles que en le déploiement ou la poursuite de mesures supplémentaires.

Au surplus, ces mêmes responsables de traitement devront, dès lors que leurs transferts de données vers les États-Unis sont fondés sur le Data Privacy Framework, modifier leurs mentions d’information et toute documentation contractuelle qui ferait référence à ces transferts de données vers les États-Unis. En effet, pour mémoire, conformément à l’article 13 du RGPD, le responsable du traitement doit informer du fait qu’il a l’intention d’effectuer un transfert de données vers un pays tiers et de l’existence d’une décision d’adéquation et/ou des mesures. Ces éléments doivent par ailleurs être consignés au sein du registre des activités de traitement (Article 30 RGPD).

En toute hypothèse, il est à rappeler que les Etats-Unis ne sont pas le seul pays tiers destinataire dans le cadre de l’utilisation de plateformes et de solutions externes et que la plupart de ces pays ne bénéficient pas de décisions d’adéquation. Il appartient donc aux organismes d’identifier l’ensemble de leurs transferts et, le cas échéant, d’appliquer l’approche issue de l’arrêt Schrems 2 (« Transfer Impact Assessment » (TIA), signature de clauses types, mise en place de mesures complémentaires, le cas échéant).

Dans ce cadre les acteurs d’un même secteur pourraient réfléchir à mutualiser leurs TIA pour certains pays, afin de maîtriser les coûts.

France CHARRUYER et les avocats du pôle de protection des données d’Altij avocats se tiennent à votre disposition afin de vous accompagner dans l’encadrement de vos transferts de données hors UE, et plus globalement pour la documentation de votre niveau de conformité.

Auteur : France Charruyer et l’équipe du Pole data

Lien vers la décision d’adéquation : https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf

Lien vers la liste des organismes conformes : https://www.dataprivacyframework.gov/s/participant-search

Lien vers la FAQ de la Commission Européenne : https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752

Lien vers la FAQ de la CNIL : https://www.cnil.fr/fr/adequation-des-etats-unis-les-premieres-questions-reponses

Pour aller plus loin :

https://www.altij.fr/detail-actualites/detail-actualites-compliance/rgpd-comment-securiser-vos-transferts-de-donnees-les-nouvelles-clauses-contractuelles-types-expliquees

https://www.altij.fr/detail-actualites/breaking-news-transferts-de-donnees-la-reforme-saccelere-et-se-concretise

https://www.altij.fr/detail-actualites/utilisation-de-google-analytics-illegale-quelles-recommandations-de-la-cnil

https://www.altij.fr/detail-actualites/affaire-google-analytics-quelles-consequences-pour-mon-site-internet

[1] Arrêt de la Cour (grande chambre) du 6 octobre 2015, Maximillian Schrems c/ Data Protection Commissioner, C-362/14.

[2] Arrêt de la Cour (grande chambre) du 16 juillet 2020, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems.

[3]https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision.

[4] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

[5]https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu.

[6]https://www.droit-technologie.org/actualites/voici-pourquoi-le-mecanisme-de-transfert-des-donnees-vers-les-usa-sera-probablement-annule/.