Transfert des données personnelles Union européenne-États-Unis : portée et limites du nouveau cadre de protection

Retour sur la décision d’adéquation de la Commission européenne, adoptée le 10 juillet 2023, facilitant le transfert des données personnelles vers certaines organisations nord-américaines.

Cet article a été publié dans la revue Dalloz IP/IT,  Numéro 11 - Novembre 2023

1. La mise en place du cadre de protection des données UE-États-Unis, un mécanisme facilitateur des transferts vers certaines organisations nord-américaines

En application des articles 44 et suivants du règlement (UE) n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), à défaut de mécanisme juridique ad hoc, les transferts de données à caractère personnel ne sont pas licites lorsque les données sont transférées (transfert « physique », accès à distance, etc.) ou accessibles depuis des pays en dehors de l'UE n'assurant pas un niveau de protection suffisant en matière de protection des données, lequel peut néanmoins être formellement reconnu par une "décision d'adéquation" adoptée par la Commission européenne.

Le cadre de protection des données UE-États-Unis relève ainsi d’une nouvelle décision d’adéquation, adoptée le 10 juillet 2023 par la Commission européenne (cf. Adequacy decision EU-US Data Privacy Framework_en.pdf (europa.eu)). Les Etats-Unis font ainsi de nouveau partie de la liste des pays adéquats  avec l'Andorre ; l'Argentine ; le Canada (pour les organisations commerciales) ; la Suisse ; les îles Féroé ; Guernesey ; Israël ; le Japon ; l'île de Man ; l’île de Jersey ; la Nouvelle-Zélande ; l’Uruguay, et la Corée du Sud.

Pour mémoire, une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui constate qu’un pays tiers - ou un territoire, ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale - assure un niveau de protection adéquat, c’est-à-dire équivalent à celui applicable au sein de l’UE en application du RGPD. Le principe d’adéquation ne doit pas, pour autant, refléter point par point la législation de l’Union, mais établir les exigences essentielles, fondamentales de cette législation. Pour la Cour de Justice de l’UE si le niveau de protection offert par un pays tiers doit être substantiellement équivalent à celui garanti dans l’Union, « les moyens auxquels ce pays tiers a recours, à cet égard, pour assurer un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein de l’Union », mais « ces moyens doivent néanmoins s’avérer, en pratique, effectifs ».

Le RGPD (article 45.2) prévoit une liste non exhaustive d’éléments qui, cumulés, permettent à la Commission d’évaluer le caractère adéquat du niveau de protection des données du pays tiers. Ces éléments incluent notamment :

• la législation interne du pays (tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel) avec une attention particulière portée sur les règles en matière de protection des données, ainsi que sur les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire ces dernières lorsque leurs données sont transférées ;
• l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données (chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits) ;
• les engagements internationaux pris par le pays, par exemple la ratification de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel (appelée convention 108).

Le cadre de protection des données UE-États-Unis peut être qualifié d’adéquation sectorielle dans la mesure où seules les organisations relevant de la tutelle du département du commerce ou du transport sont éligibles à adhérer à cet accord et elles doivent, par ailleurs, effectuer une démarche positive pour démontrer le respect des termes de ce nouveau « cadre de protection des données ». Elles doivent s’engager annuellement et publiquement à adhérer à ce cadre légal et à en respecter l’ensemble des principes. Ces principes comportent des garanties similaires à celles prévues par le RGPD telle que la limitation de la finalité, c’est-à-dire l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de collecte. En cas de partage des données européennes à un tiers, la continuité de leur protection devra également être assurée. Le droit d’accès est également reconnu aux personnes concernées. Comme dans le précédent cadre de protection des données UE-États-Unis (Privacy Shield, adopté le 12 juillet 2016), un système d’auto-certification annuel (interne ou par un tiers) des entités américaines est obligatoire.

Cette décision d’adéquation a, en conséquence, pour effet de permettre le transfert, sans exigences supplémentaires, de données personnelles depuis les organismes soumis au RGPD vers le pays tiers concerné. Elle est entrée en application le 10 juillet dernier, après avoir été notifiée par la Commission européenne aux États-membres et restera en vigueur jusqu’à sa modification, son remplacement ou son abrogation par une décision de la Commission européenne, si le niveau de protection des données n’est plus adéquat. Une première revue doit avoir lieu dans l’année suivant l’entrée en application de la décision et la périodicité des revues suivantes ne pourra pas excéder quatre ans.

Il convient toutefois de préciser qu’au cas présent, avant de procéder au transfert, les organismes soumis au RGPD doivent s’assurer que l’organisation destinataire figure sur une liste mise à disposition sur le site du département du Commerce des États-Unis car, comme mentionné plus haut, l’adéquation est sectorielle, c’est-à-dire limitée à certaines catégories d’importateurs américain qui prennent une série d’engagements opposables (Participant Search (dataprivacyframework.gov)).

En conséquence, les transferts vers des entités des Etats-Unis ne figurant pas sur la liste du département du Commerce ne peuvent pas être fondés sur la décision d'adéquation et nécessitent encore des garanties appropriées comme nous le rappelons au (3).

3. Les effets collatéraux du cadre de protection des données UE-États-Unis bénéficiant aux autres mécanismes d’encadrement des transferts vers les Etats-Unis

Les entreprises nord-américaines qui n’adhérent pas au nouveau cadre de protection des données UE-États-Unis demeurent soumises à la mise en place des autres mécanismes de transfert prévus par le RGPD.

En effet, à défaut de décision d’adéquation, les organismes soumis au RGPD doivent s’appuyer sur des mécanismes de transfert pour garantir un niveau suffisant et approprié de protection des données personnelles. Il s’agit principalement :

• des « clauses contractuelles types » qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne qui constituent des garanties appropriées spécifiques prévues par le RGPD ;
• des règles d'entreprise contraignantes ou « Binding Corporate Rules » en anglais (BCR) proposées par l'importateur non européen (sociétés du même groupe s'agissant des « BCR responsables de traitements » ou prestataire s'agissant des « BCR sous-traitants ») ;
• des codes de conduite et des mécanismes de certification, qui doivent l’un et l’autre être assortis de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

A cet égard, on relèvera qu’en application de l’arrêt Schrems II  de la CJUE du 16 juillet 2020 (précité), quel que soit le véhicule de transfert utilisé, il revient désormais à l'exportateur des données d'évaluer la législation du pays de destination, afin de déterminer si les garanties fournies par les clauses contractuelles ou autres outils de transfert mis en place peuvent être respectées dans la pratique. Autrement dit, l’exportateur doit vérifier que le niveau de protection requis par le droit européen y est respecté.

En effet, la CJUE a validé l'utilisation des clauses types encadrant les transferts hors UE (communément appelées « Clauses Contractuelles Types » ou « CCT »), tout en soulignant la nécessité de veiller à ce que des mécanismes efficaces soient mis en place pour assurer le respect d'un niveau de protection équivalent à celui accordé par le RGPD et la Charte des droits fondamentaux de l'Union européenne.

Ainsi, comme mentionné plus haut, l’exportateur des données doit vérifier si la législation du pays destinataire garantit le respect du niveau de protection requis par le droit européen. Si ce n'est pas le cas, il doit mettre en œuvre des mesures supplémentaires pour compenser les lacunes des systèmes juridiques dudit pays en termes de protection des données. Si l’exportateur des données conclut qu'un niveau de protection des données efficace et équivalent au droit européen ne peut être assuré, il doit suspendre ou mettre fin au transfert.

La bonne nouvelle pour les organismes européens transférant des données aux Etats-Unis est que les garanties mises en place par le gouvernement des Etats-Unis dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à tous les transferts de données effectués par des entités publiques ou privées soumises au RGPD vers des organisations situées aux États-Unis. Ces garanties sont donc applicables, quel que soit l’outil de transfert utilisé (clauses contractuelles types ou règles d’entreprise contraignantes par exemple), et cela allège les obligations s’imposant aux exportateurs de données européens s’agissant des transferts transatlantiques.