Nouvel accord USA et UE sur le transfert de données personnelles !
Publié le 18.07.2023
Nouveauté sur le transfert de données personnelles vers les Etats-Unis : adoption d’une nouvelle décision d’adéquation avec l'Union Européenne qui protège les données personnelles et va impacter nos organisations d'intérêt général ! < Mise à jour novembre 2023 >
La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation concernant les Etats-Unis. Depuis cette date, un nouveau cadre transatlantique de protection des données (Data Protection Framework, ou DPF) s’applique et permet aux responsables de traitement et sous-traitants européens de transférer librement des données à caractère personnel vers des entreprises certifiées situées aux Etats-Unis. Une incertitude demeure cependant quant à la survie de cette décision, celle-ci ayant déjà fait l’objet d’un recours à des fins d’annulation devant le Tribunal de Justice de l’Union européenne (TJUE).
Les Etats-Unis garantissent un niveau de protection des données équivalent à celui de l’UE
Le règlement général sur la protection des données (RGPD) prévoit que les transferts de données vers un pays tiers à l’Union européenne (UE) peuvent s’effectuer librement dès lors qu’une décision dite d’adéquation a été prise par la Commission européenne concernant ce pays.
Afin de déterminer si un pays tiers offre un niveau de protection suffisant, la Commission s’appuie sur un certain nombre d’éléments, tels que la législation interne du pays (respect des libertés fondamentales, accès des autorités publiques aux données personnelles…) et l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données (cf. article 45 du RGPD).
Au regard des récentes évolutions de la règlementation américaine, la Commission estime que le niveau de protection des données garanti par les Etats-Unis est adéquat, c’est-à-dire équivalent à celui de l’UE. Selon la Commission, les mesures adoptées par les Etats-Unis sont suffisantes et permettent de répondre aux préoccupations de la Cour de justice de l’Union européenne (CJUE) qui avaient conduit celle-ci à invalider la précédente décision d’adéquation (cf. affaire Schrems II du 16 juillet 2020).
En effet, l’Executive Order 14086, signé par le président Joe Biden le 7 octobre 2022, est notamment venu encadrer la possibilité pour les services de renseignement américains d’accéder à des données à caractère personnel :
- Seules les données nécessaires à la protection de la sécurité nationale peuvent désormais être collectées par ces services, et ce, dans le respect du principe de proportionnalité.
- Les citoyens européens ont accès à un mécanisme de recours indépendant et impartial grâce à la création d’une juridiction spécifique (Data Protection Review Court) qui traitera des litiges en lien avec la collecte et l’utilisation des données personnelles par les services de renseignement américains.
Notons cependant que des réserves quant à l’adoption de cette décision d’adéquation avaient été émises par le Comité européen à la protection des données (CEPD) et la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen. Ces entités estimaient que, malgré les améliorations apportées en octobre dernier, des points de vigilance préoccupants demeuraient (cf. notre article).
Une libre circulation des données encadrée par un mécanisme de certification par l’accord USA et UE
Une décision d’adéquation a pour effet de permettre le transfert de données personnelles vers un pays tiers à l’UE sans qu’aucune autre mesure de protection ne soit nécessaire (clauses contractuelles types, règles d’entreprise contraignantes…).
S’agissant des Etats-Unis, la libre circulation des données est cependant limitée et ne s’applique qu’aux transferts à destination d’organismes certifiés.
Il est en effet prévu un système d’auto-certification permettant aux organismes américains d’adhérer publiquement, chaque année, à ce nouveau cadre transatlantique de protection des données. Ils s’engagent ainsi à respecter un certain nombre d’obligations, telles que :
- L’obligation de supprimer les données personnelles qui ne sont plus nécessaires au regard de la finalité du traitement.
- L’obligation de garantir la continuité de la protection des données personnelles lorsque celles-ci sont partagées avec des tiers.
La liste des organismes certifiés est gérée par le Département du commerce des Etats-Unis (disponible ici).
Ainsi, seuls les transferts de données personnelles vers les organismes figurant sur cette liste peuvent s’effectuer librement. Si le destinataire des données n’est pas certifié, des garanties supplémentaires appropriées doivent être mises en place par la personne à l’origine du transfert.
Attention, les responsables de traitement et sous-traitants restent soumis à une obligation de transparence et d’information et doivent, à ce titre, informer les personnes concernées du transfert de leurs données vers les Etats-Unis.
Un nouveau cadre soumis à une procédure de réexamens périodiques
Afin de s’assurer que les outils de protection prévus ont été pleinement mis en œuvre et garantissent effectivement un niveau de protection adéquat, la décision d’adéquation sera réexaminée régulièrement par la Commission européenne. Un premier bilan interviendra en 2024.
Une décision contestée : vers un arrêt « Schrems III » ? < Mise à jour novembre 2023 >
L’ONG Noyb (None Of Your Business), en la personne de son président Max Schrems, a annoncé envisager plusieurs options procédurales pour porter le nouveau cadre transatlantique de protection des données devant la CJUE. L’ONG estime que ce texte est en grande partie une copie du Privacy Shield et que les citoyens de l’UE n’ayant toujours pas de droits constitutionnels aux Etats-Unis, les agences de renseignement américaines sont susceptibles d’utiliser leurs données à des fins de surveillance.
Si cet accord subit le même sort que ses prédécesseurs (le Safe Harbor et le Privacy Shield), il pourrait faire l’objet d’une annulation, avec effet rétroactif, dans les 18 à 24 mois.
Le sort du Data Protection Framework pourrait cependant être scellé bien plus tôt. En effet, le député français Philippe Latombe a déposé le 6 septembre 2023, en tant que citoyen européen, un recours devant le TJUE pour contester la validité du DPF et obtenir son annulation. Selon le député, cette décision doit être annulée pour les raisons suivantes :
- Sur le fond, le texte violerait à la fois les principes de la Charte des droits fondamentaux de l’Union (insuffisance de garanties du respect de la vie privée et familiale) et le RGPD (absence de garanties d’un droit à un recours effectif et d’un accès à un tribunal impartial, insuffisance de garanties relatives à la sécurité des données…).
- Sur la forme, la décision ne respecterait pas le règlement n° 1 portant fixation du régime linguistique de la Communauté Économique Européenne, celle-ci ayant été publiée uniquement en anglais et non dans toutes les langues officielles de l’UE.
Pour que cette procédure aboutisse, M. Latombe devra néanmoins prouver qu’il est personnellement et directement concerné par la décision contestée.
Le député avait parallèlement demandé la suspension de la décision, jusqu’à ce que l’affaire soit examinée au fond (cf. Communiqué de presse de M. Latombe). Le Président du Tribunal a cependant rejeté cette requête, le caractère urgent de la mesure provisoire demandée n’étant pas démontré. Selon le Tribunal, les arguments présentés ne permettaient pas d’établir que M. Latombe subirait un préjudice grave et irréparable si le DPF n’était pas immédiatement suspendu (cf. Ordonnance du Président du tribunal du 12 octobre 2023).
France générosités suivra avec attention l’issue de la procédure principale (portant sur le fond de l’affaire) qui, pour sa part, est toujours en cours
Références sur cet accord USA et UE :
- Décision d’exécution de la Commission constatant le niveau de protection adéquat des données personnelles assurée par les États-Unis – Commission européenne
- Communiqué de presse de la Commission européenne
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Anouk MARCHALAND Collaboratrice juridique |
Pour suivre les actualités juridiques et fiscales du secteur, rendez-vous ici et abonnez-vous à notre newsletter ici.