menu
Actualités
Publié le 30 août 2023 par Claire Filliatre

L’Union européenne adopte un nouveau cadre pour le transfert de données à caractère personnel vers les États-Unis

Le 10 juillet dernier, la Commission européenne a adopté une décision d’adéquation concernant le cadre de protection des données UE – États-Unis.

Cette décision conclut que les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l’Union européenne – pour les données à caractère personnel transférées de l’Union européenne vers des entreprises américaines au titre du nouveau cadre.

Ainsi, les données à caractère personnel peuvent désormais circuler en toute sécurité de l’Union européenne vers des entreprises américaines adhérant au nouveau cadre, sans qu’il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.

La décision d’adéquation[1] de la Commission européenne (« Commission ») fait suite à la conclusion, par les États-Unis, d’un décret présidentiel introduisant de nouvelles garanties contraignantes afin de répondre à toutes les préoccupations soulevées par la Cour de justice de l’Union européenne (« CJUE »), notamment en limitant l’accès des services de renseignement américains aux données de l’Union européenne (« UE ») à ce qui est « nécessaire » et « proportionné », et en instituant une Cour chargée du contrôle de la protection des données, la Data Protection Review Court.

La présidente de la Commission, Ursula von der Leyen, a salué l’adoption de cette décision tant attendue dans les termes suivants :

« Le nouveau cadre de protection des données UE – États-Unis garantira une circulation sécurisée des données aux Européens et apportera une sécurité juridique aux entreprises des deux côtés de l’Atlantique. À la suite de l’accord de principe auquel je suis parvenue avec le président Biden l’an dernier, les États-Unis ont mis en œuvre des engagements sans précédent pour établir le nouveau cadre. Aujourd’hui, nous prenons une mesure importante pour donner confiance aux citoyens quant à la sécurité de leurs données, pour approfondir les liens économiques entre l’UE et les États-Unis et, dans le même temps, pour réaffirmer nos valeurs communes. Cela montre qu’en travaillant ensemble, nous pouvons nous attaquer aux questions les plus complexes. »

Contexte

L’article 45, paragraphe 3, du Règlement Général sur la Protection des Données (« RGPD »)[2] confère à la Commission européenne le pouvoir de décider, par voie d’actes d’exécution, qu’un pays tiers assure « un niveau de protection adéquat », c’est-à-dire un niveau de protection des données à caractère personnel substantiellement équivalent à celui garanti au sein de l’UE.

La décision d’adéquation est l’un des instruments prévus par le RGPD pour le transfert de données à caractère personnel de l’UE vers les pays tiers qui, d’après l’évaluation de la Commission, garantissent un niveau de protection des données à caractère personnel comparable à celui offert dans l’UE.

Grâce aux décisions d’adéquation, les données à caractère personnel peuvent circuler librement et en toute sécurité depuis l’Espace économique européen[3] vers le pays tiers concerné, sans que des conditions ou des autorisations supplémentaires ne soient nécessaires.

Après l’invalidation par la CJUE de la précédente décision d’adéquation relative au Bouclier de Protection des données UE – États-Unis (également connu sous sa désignation anglaise Privacy Shield) aux termes de son arrêt « Schrems II » de juillet 2020[4], la Commission et le gouvernement américain ont entamé des discussions sur un nouveau cadre qui répondrait aux préoccupations soulevées par la CJUE.

En mars 2022, la présidente de la Commission, Ursula von der Leyen, et le président américain, Joe Biden, ont annoncé qu’ils étaient parvenus à un accord de principe sur un nouveau cadre pour les flux de données transatlantiques[5].

En octobre 2022, le président Biden a signé un décret présidentiel[6] sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique menées par les États-Unis, qui a été complété par des règles adoptées par le procureur général des États-Unis. Ces éléments ont permis la mise en œuvre en droit américain des engagements pris par les États-Unis en vertu de l’accord de principe et ont complété les obligations incombant aux entreprises américaines en vertu du nouveau cadre de protection des données UE – États-Unis.

Le nouveau cadre de protection des données UE – États-Unis

Le nouveau cadre de protection des données (Data Protection Framework ou « DPF ») confère aux personnes de l’UE dont les données seraient transférées aux États-Unis à des entreprises adhérentes plusieurs nouveaux droits (tels que l’accès à leurs données, la rectification ou la suppression de données inexactes ou traitées illégalement, etc.).

Il prévoit également différentes voies de recours en cas de mauvaise gestion des données par les entreprises américaines, notamment un mécanisme de règlement des litiges indépendant et gratuit et un panel spécial d’arbitrage.

Les entreprises américaines peuvent certifier leur participation au DPF en s’engageant à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée, telles que la limitation des finalités, la minimisation et la conservation des données, ainsi que des obligations spécifiques concernant la sécurité des données et le partage des données avec des tiers (collectivement désignées les « Principes Protecteurs »).

Le nouveau cadre de protection des données UE – États-Unis sera géré par le Ministère américain du commerce (U.S. Department of Commerce), lequel procédera au traitement des demandes de certification et s’assurera que les entreprises participantes satisfont en permanence aux exigences applicables en matière de certification.

La Commission fédérale du commerce (US Federal Trade Commission) veillera au respect par les entités américaines concernées des Principes Protecteurs et des obligations qui leur incombent en vertu du nouveau DPF.

L’Agence pour le commerce international (International Trade Administration) du Ministère américain du commerce a édité un site internet destiné aux entités américaines visant à mieux comprendre les avantages du DPF et les exigences requises pour y adhérer[7]. Ce site internet contient également une liste actualisée des entités adhérant à ce nouveau cadre.

Limitations et garanties concernant l’accès des services de renseignement américains aux données

Dans son arrêt « Schrems II », la CJUE avait constaté que la réglementation interne américaine impliquait des limitations importantes à la protection des données à caractère personnel, justifiées notamment par des intérêts de sécurité publique, de défense et de sûreté de l’État – en particulier afin de permettre la mise en place de certains programmes de surveillance.

Elle avait considéré que ce type de limitations, et les ingérences qu’elles entraînaient dans les droits fondamentaux des personnes dont les données étaient transférées, n’étaient pas suffisamment encadrées au regard des règles de l’UE.

En outre, la CJUE avait estimé que le mécanisme de médiation prévu par l’ancien Bouclier de Protection des données ne constituait pas une voie de recours offrant des garanties équivalentes à celles offertes dans l’UE, à savoir l’indépendance de l’organe saisi et le caractère contraignant des décisions rendues.

Le décret présidentiel sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique et les règles adoptées par le procureur général des États-Unis visent précisément à répondre aux préoccupations exprimées par la CJUE.

Ainsi, pour les Européens dont les données à caractère personnel sont transférées vers les États-Unis, la nouvelle législation américaine prévoit :

  • des garanties contraignantes qui limitent l’accès des services de renseignement américains aux données à ce qui est « nécessaire » et « proportionné » afin de protéger la sécurité nationale ;
  • un contrôle renforcé des activités des services de renseignement américains afin de garantir le respect des limitations applicables aux activités de surveillance ; et
  • la mise en place d’un mécanisme de recours indépendant et impartial comprenant une nouvelle Cour chargée du contrôle de la protection des données dont la mission est d’examiner et de régler les réclamations concernant l’accès des autorités de sécurité nationale américaines aux donnés transférées.

Le nouveau mécanisme de recours concernant l’accès des autorités de sécurité nationale américaines aux donnés transférées

Les citoyens de l’UE auront accès à un mécanisme de recours indépendant et impartial en ce qui concerne la collecte et l’utilisation de leurs données par les services de renseignement américains.

Le gouvernement américain a en effet mis en place un mécanisme de recours à deux niveaux, doté d’une autorité indépendante et au pouvoir coercitif.

Pour qu’une réclamation soit recevable, il n’est pas nécessaire que les personnes concernées démontrent que les données les concernant ont effectivement été collectées par des services de renseignement américains. Elles peuvent introduire une réclamation, dans leur propre langue, auprès de leur autorité nationale chargée de la protection des données, laquelle veillera à ce que la réclamation soit dûment transmise et à ce que toute autre information relative à la procédure et à son issue leur soit fournie.

Les réclamations seront transmises aux États-Unis par le comité européen de la protection des données.

Ce mécanisme de recours comprend deux niveaux :

Dans un premier temps, les réclamations seront examinées par le Responsable de la Protection des Libertés Civiles (Civil Liberties Protection Officer) de la communauté américaine du renseignement. Ce Responsable, chargé de veiller au respect de la vie privée et des droits fondamentaux par les services de renseignement américains, rendra une première décision.

Dans un second temps, les personnes concernées auront la possibilité de former un recours contre cette décision devant la Cour chargée du Contrôle de la Protection des Données (Data Protection Review Court ou « DPRC ») nouvellement créée. La DPRC est composée de membres extérieurs au gouvernement américain, nommés sur la base de qualifications spécifiques et ne pouvant être révoqués que pour un motif valable. La DPRC sera habilitée à enquêter sur les réclamations introduites par des citoyens de l’UE afin d’obtenir des informations utiles auprès des services de renseignement américain, et à prendre des décisions correctives contraignantes.

Dans chaque cas, la DPRC nommera un avocat spécial (special advocate) justifiant de l’expérience nécessaire en charge de veiller à ce que les intérêts de l’auteur de la réclamation soient représentés et à ce que la DPRC soit dûment informée de l’ensemble des aspects factuels et juridiques du cas d’espèce.

Recours en cas de non-respect des Principes Protecteurs

La décision d’adéquation offre aux citoyens de l’UE un certain nombre de possibilités pour faire valoir leurs droits en cas de non-respect par les entités adhérant au DPF de leurs obligations.

Les personnes concernées peuvent ainsi déposer, selon le cas, une réclamation directement auprès de l’entité adhérant au DPF, d’un organisme indépendant de résolution des litiges désigné par ladite entité, des autorités nationales de protection des données, du Ministère américain du commerce ou de la Commission fédérale du commerce.

Il est intéressant de souligner que toute entité adhérant au DPF doit mettre en place un mécanisme de gestion des réclamations. Sa politique en matière de protection de la vie privée doit donc préciser de façon explicite à qui les personnes concernées peuvent s’adresser, en interne ou externe, pour le traitement des réclamations ainsi que l’organisme indépendant de résolution des litiges désigné. L’entité dispose d’un délai de 45 jours pour répondre aux réclamations reçues.

Les personnes concernées peuvent également saisir directement l’organisme indépendant de résolution des litiges (lequel peut être situé dans l’EU ou aux États-Unis) désigné par l’entité adhérant au DPF. Ce recours doit être gratuit.

Si elles le souhaitent, les personnes concernées peuvent aussi saisir les autorités nationales de protection des données. Les entités adhérant au DPF seront alors tenues de coopérer avec l’autorité (i) si le traitement porte sur des données relatives aux ressources humaines collectées dans le cadre d’une relation de travail, ou (ii) si l’entité en question a choisi de se soumettre à la surveillance des autorités de protection des données européennes.

Dans certains cas, les autorités nationales de protection des données européennes peuvent faire suivre les réclamations reçues au Ministère du commerce américain, lequel s’est engagé, aux termes de la décision d’adéquation, à faire toute diligence pour examiner et traiter lesdites réclamations.

Enfin, la Commission fédérale du commerce, qui dispose des pouvoirs d’enquête et d’exécution nécessaires, peut être amenée à intervenir pour garantir efficacement le respect des Principes Protecteurs par les entités adhérant aux DPF, principalement à la demande d’organismes indépendants de résolution des litiges, du Ministère du Commerce américain ou des autorités nationales de protection des données européennes.

Dans l’hypothèse où la réclamation n’aurait pas été résolue par l’un de ces mécanismes, la personne concernée pourra, en dernier ressort, demander la mise en œuvre d’un processus d’arbitrage contraignant par le « groupe d’experts UE-États-Unis sur la confidentialité des données » (EU-U.S. Data Privacy Framework Panel).

Le panel d’experts sera constitué d’au moins dix arbitres désignés par le Ministère du Commerce des États-Unis et la Commission sur la base de leur indépendance, leur intégrité ainsi que de leur expérience en matière de droit américain de la vie privée et de droit de l’Union en matière de protection des données. Pour chaque litige, les parties devront choisir au sein de ce panel un ou trois arbitres.

Par ailleurs, dès lors qu’une entité adhérant au DPF manque à son engagement de respecter les Principes Protecteurs, toute personne concernée pourra saisir une juridiction américaine en vue d’obtenir des dommages et intérêts sur le fondement de la législation des États-Unis (protection du consommateur, responsabilité civile, etc.).

Vers un prochain arrêt « Schrems III » ?

Malgré les efforts déployés des deux côtés de l’Atlantique ces dernières années pour mettre en place un nouveau cadre de protection, la validité et l’efficacité du DPF font déjà débat.

Ses opposants avancent notamment le fait que la DPRC est en réalité un organe relevant du pouvoir exécutif du gouvernement américain et ne constitue aucunement un « tribunal impartial » au sens de l’article 47 de la Charte des droits fondamentaux de l’UE[8].

Max Schrems, fondateur de l’ONG None of your business (« NOYB ») estime que le nouveau cadre transatlantique de protection des données personnelles n’est qu’une simple copie du Privacy Shield de 2016, qui était lui-même une copie du Safe Harbor de 2000, et déplore le manque de changement substantiel dans le droit américain de la surveillance.

Il a d’ores et déjà annoncé être prêt à déposer un recours auprès de la CJUE :

« NOYB a préparé diverses options procédurales pour ramener le nouvel accord devant la CJUE. Nous nous attendons à ce que le nouveau système soit mis en œuvre par les premières entreprises dans les prochains mois, ce qui ouvrira la voie à une contestation par une personne dont les données sont transférées dans le cadre du nouvel instrument. Il n’est pas improbable qu’un recours parvienne à la CJUE d’ici la fin de l’année 2023 ou le début de l’année 2024. »


[1] https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf (disponible uniquement en anglais)

[2] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[3] L’Espace économique européen (« EEE ») comprend les 27 États membres de l’Union européenne plus la Norvège, l’Islande et le Liechtenstein

[4] Cf. notamment notre article intitulé Transfert international de données vers les Etats-Unis – La Cour de justice de l’Union européenne invalide le Privacy Shield publié sur notre Blog au mois d’août 2020

[5] Cf. la déclaration conjointe de la Commission européenne et des États-Unis sur le cadre transatlantique de protection des données personnelles en date du 25 mars 2022 : https://ec.europa.eu/commission/presscorner/detail/fr/ip_22_2087

[6] Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities du 7 octobre 2022 disponible sur le site internet de Maison Blanche : https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/

[7] https://www.dataprivacyframework.gov/s/

[8] L’article 47 de la Charte des droits fondamentaux de l’UE stipule : « Toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés a droit à un recours effectif devant un tribunal dans le respect des conditions prévues au présent article. Toute personne a droit à ce que sa cause soit entendue équitablement, publiquement et dans un délai raisonnable par un tribunal indépendant et impartial, établi préalablement par la loi. Toute personne a la possibilité de se faire conseiller, défendre et représenter. Une aide juridictionnelle est accordée à ceux qui ne disposent pas de ressources suffisantes, dans la mesure où cette aide serait nécessaire pour assurer l’effectivité de l’accès à la justice. »