Depuis son investiture, le président des Etats-Unis Donald J. Trump a signé plusieurs décrets présidentiels (« executive orders » en anglais). Ces derniers ont soulevé de nombreuses interrogations, notamment en Europe au regard de la protection des données à caractère personnel.

En effet, le 25 janvier 2017, le président Trump a signé un décret relatif à la sécurité intérieure des Etats-Unis (« Executive order on Enhancing Public Safety in the Interior of the United States« . Entre autres éléments, ce décret vise le Privacy Act, texte qui encadre la collecte, la conservation, l’utilisation et la diffusion des données à caractère personnel des individus par les agences de renseignement américaines.

Plus précisément, la section 14 du décret précité enjoint à ces agences, à condition que cela soit conforme aux lois applicables, de veiller à ce que leur politique en matière de respect de la vie privée exclut les non citoyens américains et les personnes qui ne résident pas de manière permanente aux Etats-Unis.

Des acteurs de la protection des données tels que le député européen Jan-Philipp Albrecht ont pu s’interroger sur l’impact de ce décret sur l’accord encadrant les transferts de données à caractère personnel aux Etats-Unis, le bouclier de protection (« Privacy Shield » en anglais).

Mathias Avocats consacre cet article à l’impact du décret américain relatif à la sécurité intérieure sur les accords conclus entre l’Union européenne et les Etats-Unis dans le domaine de la protection des données.

Quel impact sur le Privacy Shield ?

Pour rappel, le bouclier de protection, adopté le 12 juillet 2016, repose sur un système d’autocertification en vertu duquel les entreprises américaines, qu’elles soient responsables du traitement ou sous-traitants, s’engagent à respecter un corpus de règles et de principes relatifs à la protection des données à caractère personnel. Des mécanismes de contrôle du respect desdits principes par les entreprises américaines ainsi que des mécanismes de recours et des gestions des réclamations des personnes concernées sont par ailleurs prévus.

L’accès aux données à caractère personnel transférées et leur utilisation par les autorités publiques américaines, question au cœur de l’annulation du Safe Harbor par la Cour de Justice de l’Union européenne, sont également régis par le texte.

Ainsi, sur le fondement de la décision d’adéquation de la Commission européenne, publiée au Journal officiel de l’Union européenne du 1er août 2016, les transferts de données à caractère personnel d’un responsable du traitement ou d’un sous-traitant de l’Union vers des entreprises américaines qui ont réalisé le processus d’autocertification auprès du département du commerce américain sont autorisés.

Dans ce contexte, quel est l’impact du décret présidentiel relatif à la sécurité intérieure signé le 25 janvier dernier par le Président Trump ?

A la lecture de la décision de la Commission européenne et du bouclier de protection, il semblerait que ce dernier ne soit pas fondé sur le Privacy Act lequel est visé dans le décret présidentiel. Cela s’explique par le fait que le Privacy Act, permet de protéger les citoyens européens lorsque leurs données à caractère personnel sont transférées aux autorités américaines. Or, dans le cadre de transferts de données à caractère personnel sur le fondement du bouclier de protection, ces données sont transférées non à des autorités publiques mais à des entités privées.

Aussi, il semblerait que le décret présidentiel récemment signé ne soit pas de nature à remettre en cause le Privacy Shield.

Quel impact sur l’Umbrella Agreement ?

L’accord parapluie (« Umbrella Agreement » en anglais) est un accord conclu entre les Etats-Unis et la Commission européenne. Il encadre les échanges de données à caractère personnel effectués dans le cadre de la coopération judiciaire entre l’Union européenne ou ses Etats membres et les autorités américaines exclusivement.

La décision du Conseil de l’Union européenne ainsi que l’accord ont été publiés au Journal officiel de l’Union européenne le 10 décembre 2016 après quatre années de négociations.

Selon le communiqué de presse publié par la Commission européenne en décembre 2016, l’accord parapluie instaure un niveau élevé de protection des données.

Entre autres garanties, l’accord prévoit que la finalité du transfert, de l’utilisation et de la réutilisation desdites données est limitée aux seules fins de prévention et de détection des infractions pénales, dont le terrorisme, les enquêtes et les poursuites en la matière (articles 1er et 6 de l’accord). Une durée de conservation limitée des données devra être définie par chacune des parties à l’accord.

De plus, les transferts ultérieurs desdites données à des Etats tiers à l’accord sont soumis à l’autorisation préalable de l’autorité qui les a initialement communiquées. Notons également que des exigences de qualité des données transférées sont énoncées par le texte.

La sécurité des données a aussi été prise en compte. A ce titre, les Etats-Unis, l’Union européenne et les Etats membres devront « mettre en place des dispositifs techniques, organisationnels et de sécurité afin de protéger les informations à caractère personnel contre tous les risques » de destruction, de perte ou encore de divulgation. La notification des incidents de sécurité entre les parties à l’accord est également organisée.

Un droit d’accès est reconnu aux personnes concernées. Notons toutefois que son exercice pourra se heurter à des restrictions (protection des droits et libertés de tiers, protection de la sécurité nationale, éviter tout obstacle à des procédures ou enquêtes, etc.). Les personnes concernées pourront également exercer un droit de rectification des données inexactes ou traitées de manière abusive. Toutefois, il convient de souligner que la demande devra être effectuée conformément au cadre juridique applicable dans l’Etat où la rectification est demandée. Seule alternative, si le droit national d’un Etat membre le permet, la personne concernée pourra mandater l’autorité de contrôle nationale pour que celle-ci formule la demande de rectification pour son compte.

Précisons en dernier lieu que l’accord prévoit que des recours administratifs et judiciaires puissent être exercés par les personnes concernées. A ce titre, le Congrès américain a adopté en février 2016 le Judicial Redress Act, accordant ainsi aux ressortissants européens notamment le droit d’introduire un recours juridictionnel aux Etats-Unis.

Dans ce contexte, le décret signé par le Président Trump est-il de nature à remettre en cause l’Umbrella Agreement ?

Les citoyens européens dont les données à caractère personnel sont transférées aux Etats-Unis dans le cadre de l’accord parapluie devraient être protégés compte tenu de l’adoption du Judicial Redress Act. En effet, cet accord a notamment pour objet d’étendre les bénéfices du Privacy Act visé par le décret présidentiel aux citoyens européens (section 2 du Judicial Redress Act).

En outre, il convient de souligner que l’exclusion contenue dans le décret présidentiel est subordonnée au respect des règles applicables. Or, pour l’heure, il semblerait que le Judicial Redress Act soit toujours partie intégrante desdites règles applicables. Aussi, il semblerait que la remise en cause de l’Umbrella Agreement supposerait d’abord une remise en cause du Judicial Redress Act, laquelle priverait les citoyens dont les données sont transférées dans le cadre de l’accord parapluie de tout recours juridictionnel aux Etats-Unis. De cette manière, les garanties de recours juridictionnel contenues dans l’Umbrella Agreement seraient privées d’effet, tout comme ce dernier.

Mathias Avocats ne manquera pas de vous tenir informer des évolutions et des réactions des institutions européennes sur ces questions.