Transfert de données UE-USA : Washington fait un pas en avant

Par Anne-Charlotte Andrieux, Romain Delangle et Rebecca Käppner 

Dans le cadre des négociations du nouvel accord transatlantique sur le transfert des données, le président américain Joe Biden a signé le 7 octobre 2022 un décret exécutif précisant la position américaine sur le sujet et apportant de nouvelles garanties en matière de protection des données personnelles en provenance de l’Union Européenne.

Un vide juridique depuis l’annulation du « Safe Harbor » et du « Privacy Shield »

En 2020, la Cour de justice de l’Union Européenne a invalidé l’accord sur le transfert des données vers les Etats-Unis, appelé « Privacy Shield », lequel avait lui-même succédé à un accord antérieur appelé « Safe Harbor »[1]. Dans ces deux décisions « Schrems I » et « Schrems II », la Cour avait en effet considéré que ces deux textes n’offraient pas un niveau de protection adéquat aux données personnelles transférées, au grand désespoir des firmes américaines, privées de toute base légale pour transférer les données des utilisateurs européens vers les Etats-Unis.

Cette décision a laissé place à un vide juridique privant l’Union Européenne et les Etats-Unis d’un instrument juridique de transfert des données personnelles. A l’heure actuelle, tout transfert de données vers les Etats-Unis est réputé enfreindre le Règlement général sur la protection des données (RGPD).

Cette situation est particulièrement problématique, comme le rappelle la Maison Blanche dans son communiqué de presse du 7 octobre dernier. Les flux de données transatlantiques sont en effet essentiels pour permettre les relations économiques entre l’Union Européenne et les Etats-Unis, lesquelles représentent plus de 7.100 milliards de dollars.

Plus spécifiquement, l’adoption rapide d’un nouvel accord représente un véritable enjeu au regard du label « cloud de confiance », mis en place le 17 mai 2021, et dont l’objectif principal est justement de prévenir les risques d’extraction de données d’utilisateurs européens stockées sur des services cloud en application de règles d’extraterritorialité issues de règlementations extra-européennes, telle que le Cloud Act américain.

C’est la raison pour laquelle la Commission Européenne et les Etats-Unis ont immédiatement commencé à travailler à la mise en place d’un nouveau cadre transatlantique de confidentialité des données suite à l’invalidation du Privacy Shield.

Dans un communiqué de presse du 25 mars 2022, les deux parties ont annoncé être parvenues à un accord de principe, fixant un socle de négociation pour le nouveau texte.

Quelles sont les nouvelles garanties introduites dans le décret exécutif ?

Après plusieurs mois sans avancées notables dans l’élaboration du nouvel accord, les Etats-Unis ont annoncé le 7 octobre dernier la signature par le président Joe Biden d’un décret exécutif. Dans son communiqué de presse, la Maison Blanche présente dans les grandes lignes les avancées introduites par ce décret :

• Le gouvernement américain propose d’apporter des garanties additionnelles concernant ses activités de renseignement. Les services de renseignement devront limiter la collecte des données à des objectifs spécifiques, et principalement à la sécurité nationale. Par ailleurs, ces traitements de données devront être diligentés de manière proportionnelle à l’objectif poursuivi et pour lequel ils ont été autorisés. On relèvera également que les services de renseignement américains devront prendre en considération la vie privée et les libertés civiles des personnes dont les données sont collectées et traitées, sans distinction selon leur nationalité ou leur lieu de résidence.
• En lien avec ce premier engagement, les politiques et procédures des agences de renseignement américaines seront mises à jour afin de tenir compte des nouvelles garanties apportées en matière de protection des données personnelles. Les nouvelles procédures devront permettre de minimiser la diffusion et la conservation des données personnelles. Plus spécifiquement, les données personnelles ne pourront être diffusées au sein du Gouvernement que si la personne à l’origine de la divulgation est certaine que les données personnelles seront protégées de façon adéquate par le destinataire, et que ce dernier a réellement besoin d’avoir connaissance de l’information. Par ailleurs, le décret applique à la conservation des données personnelles des personnes « non-américaines » les mêmes normes et durées de conservation que les données personnelles des américains.
• Le décret exécutif introduit un mécanisme de recours indépendant et contraignant, comportant plusieurs niveaux, et ayant pour mission d’examiner les demandes et réclamations des personnes non-américaines dont les données ont été traitées aux Etats-Unis.
• Enfin, on retiendra que le Conseil de surveillance de la vie privée et des libertés civiles (« Privacy and Civil Liberties Oversight Board») aura pour objectif d’évaluer les politiques et procédures des agences de renseignement américaines pour surveiller la conformité de leurs pratiques avec le présent décret. Ce Conseil procédera par ailleurs à un examen annuel de la procédure de recours instaurée par le décret.

Des réactions plus ou moins enthousiastes au décret américain

L’annonce de ce troisième accord a ravivé la flamme des géants de la tech qui apprécient l’attention portée par le président américain à ce sujet. Google en première ligne semble suivre attentivement les évolutions liées à ce nouvel accord qui serait susceptible de remettre en cause la décision de la CNIL du 10 février 2022 visant à suspendre l’utilisation de Google Analytics en raison des transferts de données en dehors de l’Union Européenne induits par cette solution.

L’association NOYB quant à elle semble vouloir appliquer le dicton « jamais deux sans trois ». Après le Safe Harbor et le Privacy Shield, l’association de Max Schrems a d’ores et déjà annoncé qu’elle saisira « probablement » la CJUE à nouveau.

Enfin, la Commission Européenne salue la signature du décret exécutif américain, et a fait part dans un communiqué de presse de son optimisme quant la validation du nouvel accord par la CJUE en cas de contestation.

Quelles sont les prochaines étapes ?

Si la signature de ce décret exécutif permet de faire avancer les négociations, la procédure d’adoption du nouvel accord est loin d’être terminée.

Dans les semaines à venir, la Commission Européenne examinera le décret américain et proposera, le cas échéant, un projet de décision d’adéquation. Ce texte sera soumis à l’avis (non-contraignant) du Comité européen de la protection des données. Le Parlement Européen aura également la possibilité d’émettre des réserves et des propositions d’amendement au projet de texte.

Ce dernier sera enfin étudié par un Comité composé des représentants de l’ensemble des Etats membres de l’Union Européenne.

Si le Comité donne son feu vert, la Commission pourra adopter la décision finale d’adéquation. Les données pourront alors circuler librement entre les Etats-Unis et l’Union Européenne. Les entreprises américaines seront invitées à obtenir une « certification » auprès du « Department of Commerce » attestant de leur conformité au nouveau cadre réglementaire.

En tout état de cause, le nouvel accord transatlantique n’est pas attendu avant 2023.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles et des domaines particuliers du numérique. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.

[1] Pour plus d’information sur ce sujet, voir nos articles : Invalidation du Safe Harbor par la CJUE : quelles sont les conséquences juridiques et opérationnelles pour les entreprises européennes transférant leurs données en vertu de ce dispositif ? et Transfert de données vers les USA : la CJUE invalide l’accord Privacy Shield