Transfert des données vers les Etats-Unis : la Commission européenne publie le nouveau cadre de protection des données

Transfert des données vers les Etats-Unis : la Commission européenne publie le nouveau cadre de protection des données

Ce qu'il faut retenir

La Commission européenne vient d’adopter le Data Privacy Framework (DPF) ou Cadre de protection des données personnelles pour faciliter l’exportation de données personnelles vers les Etats-Unis. Le Data Privacy Framework vient ainsi replacer le Privacy Shield, trois ans après son invalidation par la CJUE. Par cette nouvelle décision, la Commission reconnaît que les règles de protection des données personnelles mises en oeuvre aux Etats-Unis offrent un niveau de protection équivalent au RGPD.

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation, dénommée Data Privacy Framework ou Cadre de protection des données personnelles (“DPF” ou “Cadre de protection”) pour faciliter l’exportation de données personnelles entre l’Union européenne et les Etats-Unis. (1)

Ce nouveau programme a pour objet de remplacer le Privacy Shield, invalidé par la CJUE en 2020 qui avait lui-même remplacé le Safe Harbor, invalidé en 2015. (2) Avec l’invalidation du Privacy Shield, les organismes se sont retrouvés dans une situation délicate. Le transfert de données personnelles entre l’Union européenne et les Etats-Unis n’était possible que par la signature de CCT conformes, ou pour les sociétés multinationales, par la mise en place de règles d’entreprise contraignantes (Binding corporate rules - BCR).

Compte tenu de l’importance des échanges commerciaux entre l’UE et les Etats-Unis, il était donc nécessaire de mettre en place un nouveau programme permettant de faciliter ces échanges de données. Ce nouveau Cadre de protection a fait l’objet d’intenses négociations pendant plusieurs mois entre le Gouvernement américain et la Commission européenne, pour corriger notamment les points de non-conformité relevés par la CJUE en 2020.

Par cette nouvelle décision d’adéquation, la Commission reconnaît que les règles de protection des données personnelles mises en oeuvre aux Etats-Unis offrent un niveau de protection équivalent (ou “adéquat”) au RGPD.


1. Pourquoi une nouvelle décision d’adéquation ?

Le Data Privacy Framework est le troisième essai du gouvernement américain et de la Commission de mettre en oeuvre une procédure d’adéquation pour faciliter les échanges de données personnelles entre l’Europe et les Etats-Unis. (3)

Après l’invalidation des deux précédentes décisions d’adéquation par la Cour de justice de l’Union européenne, à savoir le Safe Harbor en 2015 (“arrêt Schrems I”), puis le Privacy Shield en 2020 (“arrêt Schrems II”) pour non-conformité à la directive 95/46 sur la protection des données personnelles, il était nécessaire de mettre en place un nouveau système permettant de faciliter ces échanges de données entre l’UE et les Etats-Unis.

Le DPF a donc notamment pour objet de remédier aux non-conformités relevées par la CJUE dans sa décision du 16 juillet 2020.

Pour permettre d’arriver à cette nouvelle décision d’adéquation, le 7 octobre 2022, le Président Joe Biden a signé un décret (Executive Order) renforçant les règles encadrant les activités des agences de renseignement, complété par un règlement créant la Cour de révision de la protection des données (Data Protection Review Court - DPRC) publié par le ministre de la justice (Attorney General). (4)

2. Les Principales dispositions du DPF

    a) Les principes de protection des données personnelles reprises par le DPF

Le DPF fait référence au RGPD et s’appuie donc sur les principes relatifs aux traitements de données personnelles, tels que :

  - Le caractère licite, loyal et transparent du traitement, et notamment le consentement et l’information de la personne concernée sur la manière dont ses données seront traitées et dont elle pourra exercer ses droits d’accès, de rectification, d’opposition et de suppression ;
  - La collecte pour une finalité déterminée ;
  - La sécurité des données contre la perte, le détournement, l’accès et la divulgation non autorisés, la modification ou la destruction des données ;
  - L’intégrité des données et le principe de responsabilité du responsable du traitement ;
  - La limitation de la durée de conservation des données pour la durée nécessaire au traitement.

Les règles de protection continuent de s’appliquer quand les données sont transférées à un tiers (par exemple, sous-traitance de 2é niveau).

    b) Les changements par rapport aux programmes précédents

    - Le problème de l’accès aux données dans le cadre d’opérations de surveillance de masse
La principale critique du Privacy Shield était la possibilité pour les forces de l’ordre et les agences de renseignement américaines (FBI, CIA, NSA, DHS) d’accéder aux données de citoyens européens dans le cadre d’opérations de surveillance de masse et d’enquêtes.

Le décret du 7 octobre 2022 (“EO 14086”) a pour objet de préciser les règles d’accès et de traitement des données personnelles de résidents européens par les agences de renseignement américaines. Ces règles sont intégrées dans le Data Privacy Framework. L’accès aux données doit être “nécessaire” et “proportionné”, dans le cadre de la protection de la sécurité nationale : les personnels impliqués dans des activités de renseignement devront appliquer ces principes de nécessité et de proportionnalité avant de lancer une opération de renseignement.

    - L’absence de recours effectif contre les traitements de données par les agences américaines de renseignement
La deuxième cause d’invalidation du Privacy Shield concernait l’absence de recours effectif aux Etats-Unis par les personnes concernées, contre les transferts ou l’accès à leurs données personnelles, notamment en cas d’accès non justifié par les agences américaines de renseignement.

Le Data Privacy Framework permet désormais un recours à deux niveaux :
    1. Les personnes concernées peuvent déposer une plainte auprès de leur autorité de contrôle (en France, la CNIL). La plainte sera transmise aux Etats-Unis par l’intermédiaire du Comité européen de la protection des données (CEPD). Elle sera examinée par le Responsable de la protection des libertés civiles (Civil Liberties Protection Officer), en charge de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignement américaines.

    2. Les décisions du Civil Liberties Protection Officer sont susceptibles d’appel devant la Data Protection Review Court (DPRC) dont le rôle sera d’analyser et de résoudre les plaintes des résidents européens. Au cas où la DPRC déciderait que les données ont été traitées en violation des nouveaux critères de protection, la suppression des données pourra être ordonnée. En revanche, les décisions de cette cour nouvellement créée sont définitives.

    - L’application des règles de protection aux autres systèmes de transferts de données personnelles
Par ailleurs, les règles de protection mises en place par les Etats-Unis seront étendues aux autres systèmes de transferts de données personnelles tels que les transferts réalisés en vertu de clauses contractuelles types (CCT) ou des règles d’entreprise contraignantes (BCR).

    c) L’application du DPF aux entreprises américaines

Contrairement au RGPD qui s’applique à tous les organismes situés dans l’Union européenne qui traitent des données personnelles (ainsi qu’aux organismes hors UE qui traitent des données personnelles de résidents européens en vertu de l’article 3 du RGPD), le DPF, comme les deux précédents programmes, n’est applicable qu’à deux conditions :
    1) Il ne concerne que les entreprises situées aux Etats-Unis qui décident de le mettre en oeuvre par un système d’auto-certification. Ces entreprises seront identifiables une fois leur inscription confirmée sur la liste établie par le ministère américain du commerce (Department of Commerce - DoC). La certification doit être renouvelée annuellement.
    2) Certains secteurs d’activité ne sont pas couverts par le DPF, tels les secteurs de la banque et de l’assurance par exemple.

Les transferts de données personnelles vers des entreprises américaines non inscrites sur la liste DPF restent soumis à la signature de clauses contractuelles types ou, pour les groupes d’entreprises, aux BCR. Selon la CNIL, “les garanties mises en place par le gouvernement étatsunien dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à tous les transferts de données effectués par des entités publiques ou privées soumises au RGPD vers des entreprises situées aux États-Unis. Elles sont donc applicables quel que soit l’outil de transfert utilisé (clauses contractuelles types ou règles d’entreprise contraignantes par exemple).”

Les transferts ultérieurs de données par les entreprises américaines sont également encadrés. Notamment, ces transferts ne peuvent être réalisés :
  - que selon des finalités déterminées ;
  - sous réserve de la signature d’un contrat de transfert (ou de BCR) entre l’entreprise américaine et le destinataire des données garantissant notamment que le destinataire applique le même niveau de protection que le DPF ;
  - sous réserve que le destinataire n’agisse que sur les instructions de l’entreprise américaine.


3. Les prochaines étapes

Le Data Privacy Framework est entré en application dès sa publication, le 10 juillet dernier. Non rétroactif, il ne concerne pas les transferts de données réalisés avant cette date.

    a) Inscription sur la liste DPF

Les entreprises américaines qui étaient inscrites sur cette liste dans le cadre du Privacy Shield et qui souhaitent bénéficier du DPF doivent se mettre en conformité au DPF avant le 10 octobre 2023. Les autres entreprises qui souhaitent bénéficier du DPF peuvent se mettre en conformité et seront inscrites sur la liste DPF dès confirmation par le Department of Commerce.

En cas de non-renouvellement de la certification ou de non-respect du DPF, les organismes sont supprimés de la liste DPF et doivent restituer ou supprimer les données.

Aux Etats-Unis, la mise en application du DPF est gérée par le Department of Commerce. (5) Le  DoC est également en charge de mener des contrôles ponctuels de conformité auprès des entreprises inscrites sur la liste.

Les organismes européens, exportateurs de données personnelles vers une entreprise américaine doivent donc s’assurer que l’entreprise américaine sous-traitante est bien inscrite sur la liste du DPF.

    b) Revues annuelles du DPF

Le DPF sera soumis à des revues périodiques par la Commission, le CEPD et les autorités américaines afin de s’assurer de son application effective. La première revue est prévue dans un an, en juillet 2024.

Le DPF pourra être suspendu, modifié, voire supprimé au cas où les autorités communautaires estimeraient que le niveau de protection des données ne serait plus respecté.


    Le Data Privacy Framework fait déjà l’objet de critiques, certains prédisant même que ce nouveau programme de transfert de données, comme ses deux prédécesseurs, sera invalidé à terme. L’activiste Max Schrems, à l’origine des deux précédentes actions en annulation, a déclaré que son association, NYOB, intenterait un recours devant la juridiction communautaire contre cette décision d’adéquation.

La principale difficulté tient du fait que l’Europe et les Etats-Unis ont une approche différente de la protection de la vie privée et des données personnelles. Ainsi, aux Etats-Unis, il n’existe toujours pas de loi fédérale sur la protection des données personnelles. Seuls quelque 13 états sur 50 ont légiféré en la matière. Hormis trois états (Californie, Virginie et Colorado) qui ont adopté des lois de protection globale des données personnelles, les autres états ont adopté des lois sectorielles (protection des données bancaires, données de santé, protection des consommateurs, etc.). (6) En outre, l’objet, le périmètre et les conditions d’applications de ces lois diffèrent d’un état à l’autre…

Par ailleurs, les critères d’interprétation des notions de traitement “nécessaire” et “proportionné” appliqués par la DPRC seront très probablement différents des critères d’interprétation de la CJUE.

Toutefois, compte tenu des enjeux économiques, espérons que cette nouvelle décision d’adéquation soit pérenne afin d’apporter un cadre durable pour les transferts de données entre l’Europe et les Etats-Unis.

* * * * * * * * * * *


(1) Commission Implementing Decision of 10.7.23 pursuant to regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework

(2) Décision d’invalidation du Safe Harbor : CJUE, 6 octobre 2015, Aff. C-362/14 (“Schrems I”); Décision d’invalidation du Privacy Shield : CJUE, 16 juillet 2020, Aff. C-311/18 (“Schrems II”)

(3) Le RGPD, comme le nouveau Data Privacy Framework, sont applicables dans Union européenne, étendue à l’Espace économique européen (Islande, Liechtenstein, Norvège)

(4) Executive order 14086 of October 7, 2022 on Enhancing Safeguards for United States Signals Intelligence Activities (“EO 14086”)

(5) Voir le site Data Privacy Framework du Department of Commerce

(6) D’autres états fédérés ont récemment adopté des lois de protection globale des données personnelles, tels que l’Utah et le Connecticut.

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

juillet 2023