Le 13 décembre 2022, la Commission européenne a annoncé lancer le processus d’adoption d’une décision d’adéquation encadrant les transferts de données à caractère personnel vers les Etats-Unis. A cette occasion, le projet de décision d’adéquation a été publié.
La présidente de la Commission européenne Ursula Von Der Leyen et le président des Etats-Unis d’Amérique Biden avaient indiqué être parvenus à un accord de principe sur un nouveau cadre UE-États-Unis en matière de protection des données à caractère personnel le 25 mars 2022.
Rappelons aussi que le 7 octobre 2022, le Président des Etats-Unis d’Amérique a signé un décret intitulé « Executive Order on Enhancing Safeguards for United State Signals Intelligence Activity ». Ce décret doit intégrer dans la législation américaine l’accord de principe annoncé en mars dernier en introduisant de nouvelles garanties et exigences juridiques applicables aux activités de collecte d’informations et d’accès à l’information (Signals intelligence activities) des services de renseignement américains.
La décision d’adéquation projetée vise, d’une part, à favoriser les transferts de données à caractère personnel en simplifiant les démarches à réaliser par les entités exportatrices situées sur le territoire de l’Union européenne et, d’autre part, à répondre aux préoccupations soulevées par la Cour de justice de l’Union européenne dans l’arrêt dit Schrems II rendu en juillet 2020. Elle suscite d’ores et déjà débats et controverses, d’autant que le risque qu’elle soit à son tour invalidée par la Cour de Luxembourg est élevé.
Qu’est-ce qu’une décision d’adéquation ? Quelles sont les garanties prises en compte pour envisager que les Etats-Unis peuvent être considérés comme un pays adéquat au sens du RGPD ?
Qu’est-ce qu’une décision d’adéquation ?
Selon la définition de l’European Data Protection Supervisor, une décision d’adéquation est : « une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données à caractère personnel ».
Une décision d’adéquation est l’un des instruments prévus par le règlement général sur la protection des données (RGPD) pour encadrer le transfert de données à caractère personnel depuis le territoire de l’UE vers un pays tiers garantissant un niveau de protection des données à caractère personnel comparable à celui offert dans l’UE.
Quel est le contenu du projet de décision d’adéquation relative aux Etats-Unis ?
Il résulte d’abord du projet de décision d’adéquation que l’analyse de la Commission européenne est essentiellement fondée sur le contenu de l’Executive Order signé en octobre dernier.
Par ailleurs, en substance, le projet de décision d’adéquation rappelle que l’EU-U.S. Data Privacy Framework repose sur un système de certification annuelle en vertu duquel les entreprises américaines s’engagent au respect de principes de protection de la vie privée. Pour être certifiées, ces entités devront se soumettre au pouvoir d’enquête de la Federal Trade Commission (FTC) ou du ministère américain des transports (DoT). Elles devront aussi s’engager notamment à respecter des principes similaires aux principes fondamentaux définis par le RGPD (transparence, responsabilité, minimisation, exactitude, sécurité, etc.), déclarer publiquement leur engagement à ces principes, déclarer publiquement que leur politique de confidentialité est en accord avec ces principes, effacer les données personnelles lorsqu’elles ne correspondent plus à la finalité pour lesquelles elles avaient été collectées.
La Commission européenne déclare, par ailleurs, avoir analysé les limitations et les garanties, en ce compris les mécanismes de surveillance et de recours individuel prévus par la législation américaine concernant la collecte et l’utilisation ultérieure par les autorités publiques américaines des données à caractère personnel transférées à des fins notamment de poursuites pénales et de sécurité nationale.
Les voies de recours annoncées en mars 2022 dans le cadre de l’accord de principe sont reprises (Niveau 1 : Officier de Protection des Libertés Civiles (Civil Liberties Protection Officer – CLPO), Niveau 2 : Cour de révision de la protection des données nouvellement établie (Data Protection Review Court)).
En prenant en compte ces éléments, aux termes du projet de décision d’adéquation, la Commission européenne considère que les États-Unis assurent un niveau de protection des données à caractère personnel transférées à des organisations certifiées aux États-Unis en vertu du cadre de protection des données UE-États-Unis (EU-U.S. Data Privacy Framework). Ce dernier est d’ailleurs expressément déclaré comme essentiellement équivalent à celui garanti par le règlement (UE) 2016/679.
Toutefois, le projet de décision subordonne son entrée en vigueur à l’adoption par l’ensemble des agences de renseignement américaines de politiques et de procédures en application du décret présidentiel.
Quelles sont les prochaines étapes ?
Le projet de décision d’adéquation doit faire l’objet d’un avis du Comité européen de la protection des données (CEPD). Il devra ensuite faire l’objet d’une approbation par un comité constitué des représentants nationaux des États membres de l’Union européenne avant d’être officiellement adoptée.
Notons toutefois que le Parlement européen et le Conseil peuvent contester la décision à tout moment du processus s’ils estiment que la Commission européenne a outrepassé ses pouvoirs.
Enfin, après adoption, la décision d’adéquation fera l’objet d’un réexamen afin de vérifier que les garanties sur lesquelles les Etats-Unis se sont engagés sont mises en œuvre et maintenues.
Que retenir sur les transferts de données vers les Etats-Unis ?
Le projet de décision d’adéquation n’a pas de valeur juridique. Il ne peut donc pas fonder un transfert de données à caractère personnel vers les Etats-Unis.
Les entités procédant à des transferts de données à caractère personnel aux Etats-Unis sont invitées à réviser les Transfer Impact Assessment (TIA) qu’elles ont du réaliser depuis l’arrêt Schrems II et la publication par les autorités de contrôle d’une documentation méthodologique pour réaliser cette analyse. En effet, il convient de prendre en compte l’évolution du droit américain intervenue à la suite de la signation de l’Executive Order par le président Biden.
Mathias Avocats ne manquera pas de vous tenir informés de l’avancement du processus d’adoption.