Femme devant un ecran tactile

Transfert des données personnelles Union européenne-États-Unis : portée et limites du nouveau cadre de protection

Fabrice Naftalski

Avocat Associé, Global Head of Data Protection Law, département IP/IT et Protection des données, France

10 minute read 15 févr. 2024

Retour sur la décision d’adéquation de la Commission européenne, adoptée le 10 juillet 2023, facilitant le transfert des données personnelles vers certaines organisations nord-américaines.

Cet article a été publié dans la revue Dalloz IP/IT,  Numéro 11 - Novembre 2023

Points-clés :

  • Un nouvel encadrement de la protection des données personnelles entre l’Union européenne (UE) et les États-Unis facilitant les transferts de données personnelles depuis les Etats membres de l’UE tout en étant limité à certaines organisations nord-américaines ;
  • Les changements intervenus par rapport au mécanisme précédent (Privacy Shield) ;
  • Des effets collatéraux du nouveau cadre de protection bénéficiant aux autres mécanismes d’encadrement des transferts vers les Etats-Unis.

1. La mise en place du cadre de protection des données UE-États-Unis, un mécanisme facilitateur des transferts vers certaines organisations nord-américaines

En application des articles 44 et suivants du règlement (UE) n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), à défaut de mécanisme juridique ad hoc, les transferts de données à caractère personnel ne sont pas licites lorsque les données sont transférées (transfert « physique », accès à distance, etc.) ou accessibles depuis des pays en dehors de l'UE n'assurant pas un niveau de protection suffisant en matière de protection des données, lequel peut néanmoins être formellement reconnu par une "décision d'adéquation" adoptée par la Commission européenne.

Le cadre de protection des données UE-États-Unis relève ainsi d’une nouvelle décision d’adéquation, adoptée le 10 juillet 2023 par la Commission européenne (cf. Adequacy decision EU-US Data Privacy Framework_en.pdf (europa.eu)). Les Etats-Unis font ainsi de nouveau partie de la liste des pays adéquats  avec l'Andorre ; l'Argentine ; le Canada (pour les organisations commerciales) ; la Suisse ; les îles Féroé ; Guernesey ; Israël ; le Japon ; l'île de Man ; l’île de Jersey ; la Nouvelle-Zélande ; l’Uruguay, et la Corée du Sud.

Pour mémoire, une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui constate qu’un pays tiers - ou un territoire, ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale - assure un niveau de protection adéquat, c’est-à-dire équivalent à celui applicable au sein de l’UE en application du RGPD. Le principe d’adéquation ne doit pas, pour autant, refléter point par point la législation de l’Union, mais établir les exigences essentielles, fondamentales de cette législation. Pour la Cour de Justice de l’UE si le niveau de protection offert par un pays tiers doit être substantiellement équivalent à celui garanti dans l’Union, « les moyens auxquels ce pays tiers a recours, à cet égard, pour assurer un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein de l’Union », mais « ces moyens doivent néanmoins s’avérer, en pratique, effectifs ».

Le RGPD (article 45.2) prévoit une liste non exhaustive d’éléments qui, cumulés, permettent à la Commission d’évaluer le caractère adéquat du niveau de protection des données du pays tiers. Ces éléments incluent notamment :

  • la législation interne du pays (tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel) avec une attention particulière portée sur les règles en matière de protection des données, ainsi que sur les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire ces dernières lorsque leurs données sont transférées ;
  • l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données (chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits) ;
  • les engagements internationaux pris par le pays, par exemple la ratification de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel (appelée convention 108).

Le cadre de protection des données UE-États-Unis peut être qualifié d’adéquation sectorielle dans la mesure où seules les organisations relevant de la tutelle du département du commerce ou du transport sont éligibles à adhérer à cet accord et elles doivent, par ailleurs, effectuer une démarche positive pour démontrer le respect des termes de ce nouveau « cadre de protection des données ». Elles doivent s’engager annuellement et publiquement à adhérer à ce cadre légal et à en respecter l’ensemble des principes. Ces principes comportent des garanties similaires à celles prévues par le RGPD telle que la limitation de la finalité, c’est-à-dire l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de collecte. En cas de partage des données européennes à un tiers, la continuité de leur protection devra également être assurée. Le droit d’accès est également reconnu aux personnes concernées. Comme dans le précédent cadre de protection des données UE-États-Unis (Privacy Shield, adopté le 12 juillet 2016), un système d’auto-certification annuel (interne ou par un tiers) des entités américaines est obligatoire.

Cette décision d’adéquation a, en conséquence, pour effet de permettre le transfert, sans exigences supplémentaires, de données personnelles depuis les organismes soumis au RGPD vers le pays tiers concerné. Elle est entrée en application le 10 juillet dernier, après avoir été notifiée par la Commission européenne aux États-membres et restera en vigueur jusqu’à sa modification, son remplacement ou son abrogation par une décision de la Commission européenne, si le niveau de protection des données n’est plus adéquat. Une première revue doit avoir lieu dans l’année suivant l’entrée en application de la décision et la périodicité des revues suivantes ne pourra pas excéder quatre ans.

Il convient toutefois de préciser qu’au cas présent, avant de procéder au transfert, les organismes soumis au RGPD doivent s’assurer que l’organisation destinataire figure sur une liste mise à disposition sur le site du département du Commerce des États-Unis car, comme mentionné plus haut, l’adéquation est sectorielle, c’est-à-dire limitée à certaines catégories d’importateurs américain qui prennent une série d’engagements opposables (Participant Search (dataprivacyframework.gov)).

En conséquence, les transferts vers des entités des Etats-Unis ne figurant pas sur la liste du département du Commerce ne peuvent pas être fondés sur la décision d'adéquation et nécessitent encore des garanties appropriées comme nous le rappelons au (3).

2. Ce qui change par rapport à la précédente décision d’adéquation appelée « Privacy Shield »

Dans sa décision Schrems II du 16 juillet 2020 (aff. C-311/18), la CJUE avait invalidé la décision de la Commission européenne reconnaissant l’adéquation du bouclier de protection de la vie privée conclu avec les Etats-Unis (le « Privacy Shield »), considérant que celui-ci ne fournissait pas :

  • Les garanties nécessaires pour limiter l'accès des autorités publiques américaines aux données personnelles des personnes concernées dans l'UE, compte tenu des lois américaines en vigueur sur la surveillance.
  • Une protection judiciaire efficace contre les programmes de surveillance américains et un recours effectif, pour les personnes localisées sur le territoire de l’UE, devant un organisme offrant des garanties substantiellement équivalentes à celles exigées par le droit européen. À cet égard, la CJUE précisait que la mise en place d’une médiation ne pouvait remédier à ces lacunes dans la mesure où ce mécanisme ne peut être considéré comme un « tribunal » (au sens de l'article 47 de la Charte des droits fondamentaux de l'Union européenne), notamment en ce qui concerne son (in)dépendance vis-à-vis de l'exécutif.

En réponse à cette invalidation, le président des États-Unis, Joe Biden, a adopté le 7 octobre 2022, un décret présidentiel (executive order) pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains. Ce décret consacre la reconnaissance des principes de nécessité et de proportionnalité dans le cadre de l’accès des autorités nord-américaines aux données, et introduit un nouveau mécanisme de recours indépendant et impartial auprès d’une cour de contrôle de la protection des données (chargée d’examiner et de résoudre les plaintes concernant l’accès à leurs données par les autorités américaines chargées de la sécurité nationale). Cette cour aura notamment le pouvoir d’enquêter sur les plaintes déposées par les citoyens européens, elle pourra collecter des informations pertinentes auprès des agences de renseignement, et prendre des décisions correctives contraignantes. Dès lors, si des données ont été collectées en violation des garanties prévues par l’executive order précité, la Cour pourra ordonner la suppression de ces données. Cet executive order constitue, en conséquence, un élément-clé du nouveau dispositif d’encadrement des accès aux données par les autorités publiques nord-américaines, qui répond aux réserves soulevées par la décision Schrems II.

 

3. Les effets collatéraux du cadre de protection des données UE-États-Unis bénéficiant aux autres mécanismes d’encadrement des transferts vers les Etats-Unis

Les entreprises nord-américaines qui n’adhérent pas au nouveau cadre de protection des données UE-États-Unis demeurent soumises à la mise en place des autres mécanismes de transfert prévus par le RGPD.

En effet, à défaut de décision d’adéquation, les organismes soumis au RGPD doivent s’appuyer sur des mécanismes de transfert pour garantir un niveau suffisant et approprié de protection des données personnelles. Il s’agit principalement :

  • des « clauses contractuelles types » qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne qui constituent des garanties appropriées spécifiques prévues par le RGPD ;
  • des règles d'entreprise contraignantes ou « Binding Corporate Rules » en anglais (BCR) proposées par l'importateur non européen (sociétés du même groupe s'agissant des « BCR responsables de traitements » ou prestataire s'agissant des « BCR sous-traitants ») ;
  • des codes de conduite et des mécanismes de certification, qui doivent l’un et l’autre être assortis de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

A cet égard, on relèvera qu’en application de l’arrêt Schrems II  de la CJUE du 16 juillet 2020 (précité), quel que soit le véhicule de transfert utilisé, il revient désormais à l'exportateur des données d'évaluer la législation du pays de destination, afin de déterminer si les garanties fournies par les clauses contractuelles ou autres outils de transfert mis en place peuvent être respectées dans la pratique. Autrement dit, l’exportateur doit vérifier que le niveau de protection requis par le droit européen y est respecté.

 

En effet, la CJUE a validé l'utilisation des clauses types encadrant les transferts hors UE (communément appelées « Clauses Contractuelles Types » ou « CCT »), tout en soulignant la nécessité de veiller à ce que des mécanismes efficaces soient mis en place pour assurer le respect d'un niveau de protection équivalent à celui accordé par le RGPD et la Charte des droits fondamentaux de l'Union européenne.

 

Ainsi, comme mentionné plus haut, l’exportateur des données doit vérifier si la législation du pays destinataire garantit le respect du niveau de protection requis par le droit européen. Si ce n'est pas le cas, il doit mettre en œuvre des mesures supplémentaires pour compenser les lacunes des systèmes juridiques dudit pays en termes de protection des données. Si l’exportateur des données conclut qu'un niveau de protection des données efficace et équivalent au droit européen ne peut être assuré, il doit suspendre ou mettre fin au transfert.

 

La bonne nouvelle pour les organismes européens transférant des données aux Etats-Unis est que les garanties mises en place par le gouvernement des Etats-Unis dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à tous les transferts de données effectués par des entités publiques ou privées soumises au RGPD vers des organisations situées aux États-Unis. Ces garanties sont donc applicables, quel que soit l’outil de transfert utilisé (clauses contractuelles types ou règles d’entreprise contraignantes par exemple), et cela allège les obligations s’imposant aux exportateurs de données européens s’agissant des transferts transatlantiques.

Ce qu'il faut retenir

Il ressort deux constats des éléments qui précèdent.

  1. S’agissant des Etats-Unis, seuls les transferts vers les entités américaines certifiées ne nécessitent pas l’utilisation d’outils d’encadrement des transferts prévus par l’article 46 du RGPD. Pour les transferts de données vers d’autres entités que celles certifiées, des garanties appropriées doivent être fournies et ces transferts ne sont possibles qu’à condition de garantir des droits opposables aux personnes concernées ainsi que des voies de recours effectives. Toutefois, les entités nord-américaines, même non certifiées, bénéficient désormais par ricochet des garanties mises en place par le gouvernement des Etats-Unis dans le domaine de la sécurité nationale.
  2. Pour les transferts hors de l’Union européenne vers les autres pays tiers ne bénéficiant pas de décision d’adéquation, l'exportateur des données demeure soumis, quel que soit le véhicule de transfert utilisé, à l’obligation d'évaluer la législation du pays de destination, afin de déterminer si les garanties fournies par les clauses contractuelles ou autres outils de transfert mis en place peuvent être respectées dans la pratique. Autrement dit, l’exportateur doit vérifier que le niveau de protection requis par le droit européen y est respecté en s’appuyant sur les recommandations (i) sur les mesures supplémentaires aux outils de transfert permettant d’assurer une protection des données conforme et (ii) sur les garanties essentielles européennes pour les mesures de surveillance du 21 juin 2021 du Comité européen de la protection des données.

About this article

Fabrice Naftalski
Avocat Associé, Global Head of Data Protection Law, département IP/IT et Protection des données, France
Fabrice gère en France les activités de droit du numérique, de protection des données personnelles et de propriété intellectuelle et la protection des données personnelles du réseau mondial EY Law.
Related topics
Juridique

EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, lesquelles sont toutes des entités juridiques distinctes, et peut désigner une ou plusieurs de ces sociétés membres. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume-Uni, ne fournit aucun service aux clients.