Protection des données à caractère personnel : La décision d'adéquation entre l'UE et les États-Unis facilitera-t-elle les transferts de données transatlantiques ?
Le 22 juillet 2020, le jugement Schrems II rendu par la Cour de justice de l'Union européenne (« CJUE ») a bouleversé la manière dont les données à caractère personnel de l'Union européenne (« UE ») et du Royaume-Uni étaient transférées aux États-Unis.
La Commission européenne (« Commission ») et le gouvernement américain ont entamé des discussions sur un nouveau cadre transatlantique de protection des données pour faciliter les flux de données entre l'UE et les États-Unis, ainsi que de répondre aux préoccupations soulevées par la CJUE. Cela a abouti à l'annonce d'un accord de principe en mars 2022. Le 7 octobre 2022, le président Biden a signé un décret exécutif visant à renforcer les garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement des États-Unis, ainsi que des règlements émis par le procureur général des États-Unis. Cela a permis de transposer les engagements américains dans le droit américain et de renforcer les obligations des entreprises américaines.
À partir de cette base, la Commission a publié, le 13 décembre 2022, un projet de décision d'adéquation concernant le cadre UE-États-Unis pour la protection des données à caractère personnel. Ce projet reflète l'évaluation faite par la Commission concernant le cadre juridique américain, concluant que celui-ci offre des garanties comparables à celles de l'UE et assure un niveau de protection adéquat des données transférées de l'UE vers les États-Unis.
Que s'est-il passé dans l'affaire Schrems II ?
Lors d'une audience préliminaire de l'affaire Schrems II, dans laquelle le militant de la protection de la vie privée Maximillian Schrems contestait Facebook en Irlande pour des transferts de données à caractère personnel vers les États-Unis, la CJUE a invalidé le mécanisme du Privacy Shield entre l'UE et les États-Unis.
Facebook, ainsi que des milliers d'autres entreprises, avaient l'habitude de procéder à de tels transferts de données à caractère personnel en utilisant soit le Privacy Shield, soit les anciennes clauses contractuelles types de l'UE. Le Privacy Shield était le mécanisme de sauvegarde pour les transferts de données à caractère personnel de l'EEE vers les États-Unis, permettant à une entreprise américaine certifiée en vertu de ce mécanisme de recevoir des données à caractère personnel provenant de l'EEE sans avoir à recourir à un autre mécanisme prévu par le chapitre 5 du règlement général sur la protection des données (UE) 2016/679 (« RGPD »), tel que la conclusion des clauses contractuelles types précédemment mentionnées.
Néanmoins, le régime avait ses défauts, et après seulement quatre ans d'existence, le régime a été déclaré illégitime. Cela était principalement dû aux larges pouvoirs de collecte de données accordés par la législation américaine en matière de sécurité nationale, à savoir la section 702 de la loi sur la surveillance du renseignement étranger (connue sous le nom de FISA) et le décret 12333, qui contredisaient la notion européenne de droits fondamentaux en vertu de la Charte des droits fondamentaux de l'UE (« Charte de l'UE ») et, par conséquent, le RGPD.
Il a également été affirmé que le cadre ne prévoyait pas de mécanismes suffisants pour résoudre les divergences entre les lois américaines sur la surveillance et la législation européenne sur la protection de la vie privée. En particulier, le système de médiation en place aux États-Unis a été considéré comme manquant d' « équivalence essentielle » avec les procédures prévues par le RGPD et la Charte de l'UE.
Les anciennes clauses contractuelles types ont également fait l'objet de cette décision, la CJUE soulignant les modifications nécessaires pour que ces clauses soient plus qu'un simple bout de papier signé puis jeté dans un tiroir. Les clauses contractuelles types révisées de l'UE, qui ont été introduites le 4 juin 2021, ont permis d'y remédier, cependant, le vide existant dans le Privacy Shield est resté une préoccupation pour plusieurs entreprises au cours des deux dernières années.
Que prévoit le projet de décision d'adéquation ?
Les négociations entre les États-Unis et la Commission ont abouti à un projet de décision d'adéquation concernant le cadre UE-États-Unis pour la protection des données à caractère personnel et qui permet d'envisager des transferts transatlantiques. Les éléments clés de ce projet sont les suivants :
Certification
Les entreprises s'auto-certifient auprès du ministère américain du commerce dans le cadre de l'ancien mécanisme du Privacy Shield (qui existe toujours aux États-Unis mais ne peut être utilisé dans le cadre du RGPD), qui valide ces auto-déclarations afin de fournir une certification. Ce cadre de certification est toujours en place, et de nombreuses entreprises continuent à s'auto-certifier dans la mesure où la certification elle-même peut être considérée comme un gage de qualité en termes de politiques de protection des données d'une entreprise aux États-Unis (en particulier pour les entreprises internationales).
En ce qui concerne la certification, les entreprises américaines pourront adhérer au cadre de protection des données UE-États-Unis en s'engageant à respecter un ensemble détaillé d'obligations en matière de protection de la vie privée. Ces obligations comprennent, notamment, l'obligation d'effacer les données lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, et de maintenir la protection des données à caractère personnel lorsqu'elles ont été transférées à des tiers.
La mise en œuvre effective de ce cadre sera également assurée par les obligations de transparence et d'administration du ministère américain du commerce.
Le cadre juridique américain impose un certain nombre de limitations et de garanties concernant l'accès aux données par les autorités publiques américaines, notamment à des fins de répression pénale et de sécurité nationale. Les nouvelles mesures introduites dans le décret exécutif répondent directement aux questions soulevées par l'arrêt Schrems II :
Un mécanisme de recours à plusieurs niveaux
En vertu du projet de décision d'adéquation, les citoyens de l'UE auront accès à plusieurs voies de recours, dont le libre accès à des mécanismes indépendants de résolution des litiges et à un panel d'arbitrage.
Les États-Unis autorisent les Européens à demander réparation concernant la collecte et l'utilisation de leurs données par les agences de renseignement américaines par le biais d'un mécanisme de recours indépendant et impartial, qui comprend la création d'une Cour d'examen de la protection des données, composée de personnes sélectionnées en dehors du gouvernement américain. Cette Cour examinera et résoudra de manière indépendante les plaintes émises par les Européens, y compris en adoptant des recours contraignants si nécessaire.
Il s'agit d'une réponse directe aux préoccupations de la CJUE concernant l'ancienne procédure du médiateur américain et son manque d'équivalence avec le droit à un recours effectif devant un tribunal prévu par l'article 47 de la Charte de l'UE.
La collecte de données nécessaire et proportionnée
L'accès des agences de renseignement américaines aux données européennes sera limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale. Ces termes sont tirés du RGPD et constituent donc une tentative de rapprocher le régime américain de la réglementation en vigueur dans l'UE et au Royaume-Uni.
Ce traitement des données personnelles de l'EEE ne doit pas avoir d'impact excessif sur la protection de la vie privée et des libertés civiles. Toutefois, il reste à voir comment cela se traduira dans la pratique.
La possibilité de s'appuyer sur ces garanties conjointement avec d'autres mécanismes de transfert
Les entreprises européennes pourront s'appuyer sur ces garanties pour les transferts de données transatlantiques, même si elles utilisent d'autres mécanismes de transfert, tels que les clauses contractuelles types et les règles d'entreprise contraignantes.
Cela sera-t-il suffisant au regard du jugement Schrems II ?
L'administration Biden a affirmé, dans sa fiche d'information annonçant l'accord de principe, qu'il y a plus de transferts de données entre les États-Unis et l'Europe que partout ailleurs dans le monde, soutenant ainsi la relation économique entre les États-Unis et l'UE, qui représente 7 100 milliards de dollars. Par conséquent, les perturbations engendrées par le jugement Schrems II ont mis à mal ce partenariat en ce qui concerne les flux de données à caractère personnel. Les négociations sur les dispositions relatives au « transfert international » ont pris de plus en plus de temps pour plusieurs organisations et, dans certaines circonstances, sont devenues un obstacle, voire une cause de rupture des relations contractuelles.
Les entreprises des États-Unis et de l'UE en sont pleinement conscientes, et ont passé près de deux ans à dépendre de mécanismes de transfert alternatifs, tels que les clauses contractuelles types, qui ont intégré plus récemment l'obligation de procéder à des analyses d'impact relatives aux transferts.
Fortement inspiré par le décret exécutif publié en octobre dernier, ce projet de décision d'adéquation améliore considérablement le Privacy Shield et peut être considéré comme une étape importante pour garantir la stabilité juridique et la responsabilité des transferts de données pour les entreprises de toutes tailles ainsi que pour les relations transatlantiques.
Toutefois, plusieurs questions juridiques essentielles restent en suspens quant à sa conformité avec les exigences du droit de l'UE et les normes de la CJUE, dont son efficacité à protéger les droits fondamentaux à la vie privée et à la protection des données des consommateurs américains et européens, comme l'a souligné NOYB dans un communiqué de presse exprimant sa première réaction vis-à-vis du projet de décision d'adéquation. Selon elle, les modifications apportées par le décret exécutif à la législation américaine semblent plutôt minimes. En outre, étant donné que le projet de décision d'adéquation est basé sur ce décret exécutif, NOYB en conclut que tout jugement d'adéquation de la Commission basé sur le décret exécutif ne satisfera probablement pas la CJUE.
En définitive, seul le temps dira si ce projet de décision d'adéquation répond aux critères requis par le RGPD, si (ou quand) le nouveau régime est porté devant la CJUE.
Quelles sont les prochaines étapes ?
Le projet de décision d'adéquation va maintenant être soumis à la procédure d'adoption. Le Comité européen de la protection des données (« EDPB ») examinera le projet et émettra un avis. Ensuite, la Commission demandera l'approbation d'un comité composé de représentants des États membres de l'UE. Il convient de noter que le Parlement européen aura également la possibilité d'examiner la décision d'adéquation. Une fois cette procédure achevée, la Commission pourra procéder à l'adoption de la version finale de la décision d'adéquation.
En outre, le fonctionnement du cadre de protection des données UE-États-Unis sera soumis à des examens périodiques, dont le premier commencera dans l'année qui suit l'entrée en vigueur de la décision d'adéquation et sera effectué par la Commission européenne en collaboration avec les autorités européennes de protection des données et les autorités américaines compétentes. L'objectif est de s'assurer que tous les éléments clés du cadre juridique américain ont été pleinement mis en œuvre et fonctionnent correctement dans la pratique.
Comme d'habitude, si vous avez besoin d'aide concernant la protection de vos données, y compris les transferts internationaux, n'hésitez pas à nous contacter !
Article par Nathalie Pouderoux @ Gerrish Legal, décembre 2022