Par Haas Avocats
Le 10 juillet dernier la Commission européenne a adopté une nouvelle décision d'adéquation[1] concernant la circulation des données entre l'UE et les États-Unis.Cette dernière étant en effet qualifiée de « sécurisée et fiable ». Sommes-nous alors confrontés à une simple mise à jour du Privacy shield (un pastiche de ce dernier) ou un réel nouvel accord ?
Comme le précise la CNIL, la Commission décide à travers cette décision, que « les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat » des données à caractère personnel transférées de l'UE vers les organismes situés aux États-Unis respectant le Data privacy Framework. A l’instar du privacy shield, la liste de ces organismes respectant le Data privacy framework permet de connaître les organismes considérés comme sécurisés.
Cela implique donc que les transferts de données à caractère personnel depuis l’UE vers les organismes listés (voir ci-dessus) peuvent s’effectuer en toute liberté sans avoir recours aux garanties appropriées comme les clauses contractuelles types ou les mesures complémentaires recommandées par le Comité Européen de la protection des Données (CEPD)[2].
Il est important de noter que cette décision de la commission s’est faite malgré un avis plutôt mitigé du CEPD qui faisait part de plusieurs préoccupations dans son avis[3] du 28 février dernier. Ces préoccupations portaient essentiellement sur l’absence d’évolution concrète sur certains principes par rapport au Privacy Shield.
La Commission européenne indique que le gouvernement américain a mis en place un nouveau « mécanisme de recours à deux niveaux », doté d’autorités indépendantes, pour traiter et résoudre les plaintes déposées par toute personne dont les données ont été transférées de l'EEE vers des entreprises aux États-Unis concernant la collecte et l'utilisation de ses données par les agences de renseignement américaines.
L’association NOYB, fondée par Max Schrems, à l’origine de l’annulation du Privacy Shield en 2020 argue que le Data Privacy Framework est, pour majeure partie, une copie du feu Privacy Shield avec une absence réelle de changement de la législation américaine.
La problématique centrale étant notamment l’existence de la « FISA 702 » qui permet au Procureur général des États-Unis et au Directeur du renseignement national d'autoriser conjointement le ciblage des personnes (non américaines) situées à l'extérieur des États-Unis. Ce que la NYOB nomme une surveillance « en vrac ».
Dans ce cadre Max Schrems précise que l’association NYOB a déjà préparé « plusieurs options de recours » et qu’ « au cours des 23 dernières années, tous les accords entre l'UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises - il semble que nous venons d'ajouter deux années supplémentaires à ce ping-pong ».
Pour une parfaite sécurité juridique, il est donc vivement conseillé de prévoir des garanties ou de conserver les garanties déjà mises en place en cas de transferts vers les États-Unis tout en gardant un œil ouvert sur l’évolution de la situation.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_3721
[2] Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
[3] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework