La règlementation en matière de transfert de données personnelles entre l’Union Européenne et les États-Unis a connu de nombreux rebondissements depuis l’adoption en 2000 du US-EU Safe Harbor. Depuis lors, un autre cadre réglementaire a vu le jour pour aussitôt disparaitre : le US-EU Privacy Shield.
Dans cet article nous revenons sur la décision d’annulation du Privacy Shield adoptée en 2020 par la CJUE afin de mieux appréhender les évolutions récentes, et notamment l’adoption d’un nouvel accord de principe sur un Trans-Atlantic data privacy Framework entre l’Union Européenne et les États-Unis.
1. Privacy Shield 1.0
De 2016 à 2020, les entreprises américaines dotées d’une auto-certification « Privacy Shield » étaient considérées comme offrant un niveau de protection adéquat en matière de protection des données, leur permettant ainsi de recevoir des données personnelles en provenance de l’Union Européenne.[1] En juillet 2020 pourtant, la Cour de Justice de l’UE a invalidé l’accord EU-US Privacy Shield dans un arrêt Schrems II, considérant qu’un tel accord ne garantissait pas un degré de protection des données conforme au Règlement Général sur la Protection des Données (RGPD) adopté en 2018.[2]
2. Shrems II
Dès 2020, il a donc fallu pour les entreprises utilisant le Privacy Shield de trouver une alternative pour transférer des données personnelles vers les États-Unis. La CJUE avait notamment indiqué que les Clauses Contractuelles Types (CCT), un instrument contractuel assurant le transfert de données en dehors de l’EEE, satisfaisaient toujours les critères permettant un transfert de données à l’international sous condition que l’exportateur de données procède à une évaluation du régime juridique de l’importateur de données afin de confirmer que lesdites lois n’empêchent l’importateur de remplir ses obligations en vertu des CCT (« Transfer Impact Assessment »).[3]
3. Nouvelles CCT
En juin 2021, la Commission européenne adopta finalement de nouvelles CCT pour une meilleure prise en compte des évolutions juridiques liées au RGPD et à l’arrêt Schrems II.[4] Les CCT, bien qu’apparaissant comme la solution alternative la plus sure, demeurent couteuses en temps et en argent. Depuis le 27 septembre 2021, les utilisateurs des CCT ont l’obligation de recourir aux nouvelles versions des clauses, et ils ont jusqu’au 27 décembre 2022 pour remplacer l’ensemble de leurs CCT existantes. Les exportateurs doivent alors choisir le bon module, effectuer un « data transfer risk assessment » portant sur la législation du pays de l’importateur, et mettre en place des mesures supplémentaires en cas de besoin.[5]
4. L’Accord cadre transatlantique de protection des données personnelles. Privacy Shield 2.0 ?
C’est finalement en mars 2022, presque deux ans sans cadre juridique défini pour le transfert de données entre l’UE et les États-Unis, que le président américain Joe Biden et la présidente de la Commission Européenne Ursual Von der Leyen ont annoncé la signature d’un accord de principe sur un nouveau texte : l’Accord entre la Commission européenne et les États-Unis concernant le cadre transatlantique de protection des données personnelles.[6] Cet accord, attendu par les entreprises européennes et américaines, est escompté d’ici la fin de l’année 2022 (bien qu’aucune date précise n’ait été officiellement communiquée).[7] Pour l’instant, le Framework doit faire l’objet d’un « Executive Order » américain, avant de pouvoir faire l’objet d’une proposition de décision d’adéquation par l’Union Européenne.[8]
Même si le Framework n’en est qu’à ses débuts et même si aucune version finalisée voire consolidée n’a été présentée, il est pourtant possible, à la lecture du dernier Privacy Shield de 2016 ainsi que des informations accessibles à ce jour, de dégager un certain nombre d’axes qui seront potentiellement adoptés dans le Framework :
- Les entreprises américaines pourront s’auto-certifier auprès d’un organisme tel qu’il était prévu dans le Privacy Shield.[9] Après qu’une entreprise américaine se soit volontairement soumise aux termes de l’accord, à savoir accepter d’adhérer aux principes clés du RGPD, elle sera incluse dans une base de données ouverte au public.
- Un nouveau mécanisme de recours sera mis en place, comprenant un tribunal indépendant (la “Data Protection Review Court”) composé de personnes n’appartenant pas au gouvernement américain et doté de la pleine autorité pour statuer sur les réclamations et ordonner des réparations, si nécessaire.[10]
- Afin de répondre à l’arrêt Schrems II, des garanties limitant l’accès aux données par les services de renseignement américains à ce qui est « nécessaire et proportionné » pour protéger la sécurité nationale sont prévues.[11] Les agences de renseignement américaines adopteront des procédures pour assurer une surveillance efficace des nouvelles normes en matière de protection des données.[12]
Pourtant, malgré l’annonce d’un nouvel accord et la potentielle reprise de certaines caractéristiques utiles du Privacy Shield, de nombreux points de tensions demeurent, remettant ainsi en cause l’adoption d’une solution définitive pour les transferts des données vers les US.
En premier lieu, le nerf de la guerre : les lois de surveillance américaines. Un des principaux arguments avancés lors du rejet du Privacy Shield en 2020 reposait sur l’incompatibilité des lois de surveillance américaine avec les exigences du RGPD, notamment la surveillance américaine ne s’était pas limitée au strict nécessaire.[13] Il faudra ainsi que les États-Unis encadrent au mieux le traitement de données des européens à des fins de surveillance. La récente décision de la Cour suprême des États-Unis dans l’affaire FBI v. Fazaga,[14] dans laquelle les juges ont reconnu une plus grande discrétion au gouvernement américain pour invoquer les « secrets d’État » dans les affaires d’espionnage, remet en question la possibilité de solutionner les problématiques relevées par Schrems II.
C’est également la menace Schrems qui plane au-dessus de l’adoption du nouveau Framework. L’activiste autrichien Max Schrems, à la source de l’annulation du Privacy Shield en 2020, s’est de nouveau déclaré prêt à contester le texte final dans le cas où il ne serait pas « conforme au droit européen » et se désole que les deux géants « n’aient pas profité de cette situation pour parvenir à un accord de ‘non-espionnage’ avec des garanties de base entre démocraties partageant les mêmes idées ».[15] Il a déclaré qu’on « ne voit pas comment [l’Accord] pourrait passer le test de la CJUE, la surveillance américaine ayant déjà été jugée non “proportionnée” par la CJUE. Les accords précédents ont échoué deux fois à cet égard. » Il faut donc s’attendre à ce que le nouvel accord soit une fois de plus contesté devant la CJUE.
Conclusion
En définitive, et jusqu’à ce que l’accord-cadre reçoive une décision d’adéquation de la Commission européenne, le statu quo persistera. Cela signifie que le transfert de données vers les États-Unis ne sera autorisé que si des garanties appropriées sont en place, à savoir la mise en œuvre des clauses contractuelles types accompagnées d’un « transfer impact assessment ». De nombreuses étapes restent à franchir avant l’adoption d’un texte définitif. Poursuivre l’utilisation des CCT pour les transferts de données hors de l’EEE apparait comme l’une des solutions les plus adéquates et pérennes, offrant à leurs utilisateurs une meilleure visibilité et sécurité qu’un accord qui n’a pas été adopté et qui risque d’être contesté.
[1] https://www.privacyshield.gov/welcome
[2] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311
[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf
[4] https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr ; https://simplyclause.eu/2022/03/15/les-cct/
[5] https://simplyclause.eu/2022/03/15/les-cct/
[6] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087
[7] https://iapp.org/news/a/officials-thrilled-with-eu-us-data-flows-agreement-work-continues-on-finalization/
[8] Id.
[9] https://www.privacyshield.gov/article?id=How-to-Join-Privacy-Shield-part-1
[10] https://iapp.org/news/a/officials-thrilled-with-eu-us-data-flows-agreement-work-continues-on-finalization/
[11] https://iapp.org/news/a/officials-thrilled-with-eu-us-data-flows-agreement-work-continues-on-finalization/
[12] https://iapp.org/news/a/officials-thrilled-with-eu-us-data-flows-agreement-work-continues-on-finalization/
[13] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311
[14] https://www.supremecourt.gov/opinions/21pdf/20-828_5ie6.pdf
[15] https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems