1. La mise en place du cadre de protection des données UE-États-Unis, un mécanisme facilitateur des transferts vers certaines organisations nord-américaines
En application des articles 44 et suivants du règlement (UE) n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), à défaut de mécanisme juridique ad hoc, les transferts de données à caractère personnel ne sont pas licites lorsque les données sont transférées (transfert « physique », accès à distance, etc.) ou accessibles depuis des pays en dehors de l'UE n'assurant pas un niveau de protection suffisant en matière de protection des données, lequel peut néanmoins être formellement reconnu par une "décision d'adéquation" adoptée par la Commission européenne.
Le cadre de protection des données UE-États-Unis relève ainsi d’une nouvelle décision d’adéquation, adoptée le 10 juillet 2023 par la Commission européenne (cf. Adequacy decision EU-US Data Privacy Framework_en.pdf (europa.eu)). Les Etats-Unis font ainsi de nouveau partie de la liste des pays adéquats avec l'Andorre ; l'Argentine ; le Canada (pour les organisations commerciales) ; la Suisse ; les îles Féroé ; Guernesey ; Israël ; le Japon ; l'île de Man ; l’île de Jersey ; la Nouvelle-Zélande ; l’Uruguay, et la Corée du Sud.
Pour mémoire, une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui constate qu’un pays tiers - ou un territoire, ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale - assure un niveau de protection adéquat, c’est-à-dire équivalent à celui applicable au sein de l’UE en application du RGPD. Le principe d’adéquation ne doit pas, pour autant, refléter point par point la législation de l’Union, mais établir les exigences essentielles, fondamentales de cette législation. Pour la Cour de Justice de l’UE si le niveau de protection offert par un pays tiers doit être substantiellement équivalent à celui garanti dans l’Union, « les moyens auxquels ce pays tiers a recours, à cet égard, pour assurer un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein de l’Union », mais « ces moyens doivent néanmoins s’avérer, en pratique, effectifs ».
Le RGPD (article 45.2) prévoit une liste non exhaustive d’éléments qui, cumulés, permettent à la Commission d’évaluer le caractère adéquat du niveau de protection des données du pays tiers. Ces éléments incluent notamment :
- la législation interne du pays (tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel) avec une attention particulière portée sur les règles en matière de protection des données, ainsi que sur les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire ces dernières lorsque leurs données sont transférées ;
- l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données (chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits) ;
- les engagements internationaux pris par le pays, par exemple la ratification de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel (appelée convention 108).
Le cadre de protection des données UE-États-Unis peut être qualifié d’adéquation sectorielle dans la mesure où seules les organisations relevant de la tutelle du département du commerce ou du transport sont éligibles à adhérer à cet accord et elles doivent, par ailleurs, effectuer une démarche positive pour démontrer le respect des termes de ce nouveau « cadre de protection des données ». Elles doivent s’engager annuellement et publiquement à adhérer à ce cadre légal et à en respecter l’ensemble des principes. Ces principes comportent des garanties similaires à celles prévues par le RGPD telle que la limitation de la finalité, c’est-à-dire l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de collecte. En cas de partage des données européennes à un tiers, la continuité de leur protection devra également être assurée. Le droit d’accès est également reconnu aux personnes concernées. Comme dans le précédent cadre de protection des données UE-États-Unis (Privacy Shield, adopté le 12 juillet 2016), un système d’auto-certification annuel (interne ou par un tiers) des entités américaines est obligatoire.
Cette décision d’adéquation a, en conséquence, pour effet de permettre le transfert, sans exigences supplémentaires, de données personnelles depuis les organismes soumis au RGPD vers le pays tiers concerné. Elle est entrée en application le 10 juillet dernier, après avoir été notifiée par la Commission européenne aux États-membres et restera en vigueur jusqu’à sa modification, son remplacement ou son abrogation par une décision de la Commission européenne, si le niveau de protection des données n’est plus adéquat. Une première revue doit avoir lieu dans l’année suivant l’entrée en application de la décision et la périodicité des revues suivantes ne pourra pas excéder quatre ans.
Il convient toutefois de préciser qu’au cas présent, avant de procéder au transfert, les organismes soumis au RGPD doivent s’assurer que l’organisation destinataire figure sur une liste mise à disposition sur le site du département du Commerce des États-Unis car, comme mentionné plus haut, l’adéquation est sectorielle, c’est-à-dire limitée à certaines catégories d’importateurs américain qui prennent une série d’engagements opposables (Participant Search (dataprivacyframework.gov)).
En conséquence, les transferts vers des entités des Etats-Unis ne figurant pas sur la liste du département du Commerce ne peuvent pas être fondés sur la décision d'adéquation et nécessitent encore des garanties appropriées comme nous le rappelons au (3).