Le 10 juillet 2023, la Commission européenne a adopté une décision permettant la reprise des transferts de données personnelles entre l'UE et les États-Unis, malgré l'avis négatif du Parlement européen.
Cette décision est basée sur le RGPD, qui interdit les transferts de données hors de l'UE, sauf dans certaines conditions. On le sait, les États-Unis ont mis en place des mécanismes spécifiques qui ont permis l'adoption d'une première décision d'adéquation - le "privacy shield". Celui-ci a cependant été annulé par la Cour de justice de l'Union européenne dans son arrêt dit Schrems II, en raison de légitimes préoccupations liées aux activités de renseignement américaines - c'est-à-dire en raison d'infractions graves au RGPD.
Les décisions d'adéquation, qui permettent le transfert de données depuis l'Union européenne vers un pays tiers, sont prévues par l'article 45§2 du RGPD :
a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l'organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et
c) les engagements internationaux pris par le pays tiers ou l'organisation internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.
La liste complète des décisions d'adéquation, disponible sur le site de la Commission, n'est pas très longue. Peu de pays assurent en effet "un niveau de protection substantiellement équivalent à celui de l’Union européenne", permettant ainsi, sous certaines conditions, le transfert de données personnelles vers ce pays, sans exigences supplémentaires.
La précédente décision d'adéquation de la Commission européenne concernant les États-Unis (Privacy shield) a néanmoins été invalidée par la Cour de justice de l'Union européenne (CJUE) dans son arrêt Schrems II le 16 juillet 2020. La CJUE a en effet jugé, en résumé, que la législation américaine en matière d'accès aux données par les services de renseignement était disproportionnée par rapport aux exigences de la Charte des Droits Fondamentaux, en particulier en ce qui concerne la collecte de données et les voies de recours effectivement disponibles pour les personnes concernées (articles 7, 8 et 47 de la Charte).
En réponse à cette invalidation, le président américain Joe Biden a tardivement adopté un décret présidentiel (Executive Order 14086 of October 7, 2022 : Enhancing Safeguards for United States Signals Intelligence Activities) visant à renforcer les garanties concernant la collecte et l'utilisation des données personnelles par les services de renseignement américains. Ce nouveau cadre a été soumis à la Commission européenne pour évaluation.
Le 13 décembre 2022, la Commission a soumis un projet de décision pour avis au Comité européen de la protection des données (CEPD), qui regroupe toutes les autorités de protection des données au niveau européen. Le CEPD a adopté un avis mitigé sur ce projet d'adéquation le 28 février 2023, relevant les améliorations apportées par le gouvernement américain tout en exprimant des préoccupations sur plusieurs points.
L'executive order américain de fin 2022, répondant à l'arrêt de la CJUE, crée en particulier un mécanisme de recours à deux niveaux au bénéfice des citoyens européens souhaitant exercer leur droit de recours contre l'utilisation de leurs données par une entité américaine. Le premier niveau est celui du CPLO, pour Civil Liberties Protection Officer (Officier de protection des libertés civiles), que tout citoyen européen pourra saisir. Celui-ci a notamment pour compétence le contrôle du respect, par les agences de renseignements américains, des droits fondamentaux incluant le droit des données personnelles. Les décisions du CPLO pourront en outre être contestées en appel devant une juridiction créée pour l'occasion : la Data Protection Review Court (DPRC).
Par sa décision d'adéquation du 10 juillet 2023, la Commission a validé ce nouveau dispositif, ce qui signifie que les responsables de traitement comme les sous-traitants pourront de nouveau transférer sans crainte des données vers les États-Unis, sans mettre en place un outil de transfert au titre de l'article 46 du RPGD ou utiliser une dérogation au titre de l'article 49 du RGPD, à condition cependant que le destinataire des données figure sur le registre américain dédié.
Des voix s'élèvent cependant pour signaler que la nouvelle décision d'adéquation européenne pourrait être censurée par la Cour de justice de l'Union européenne (voir par exemple ici).
Les critiques concernent essentiellement la Data Protection Review Court (DPRC), dont les membres sont nommés par le gouvernement et dont le sièg est peu pertinemment situé au sein du Department of Justice (DOJ), c'est-à-dire au sein du pouvoir exécutif et non du pouvoir judiciaire américain. Cette structuration fait craindre un manque d'indépendance rendant potentiellement peu effective la protection.
Par ailleurs, lors d'un recours devant la DPRC, le plaignant n'est pas réellement associé à la procédure. Un avocat spécial sera désigné pour représenter ses intérêts et informer la Cour sur les points de droit pertinents. Comme l'indique en effet la section 3, (E), (d) de l'executive order : "if either the complainant or an element of the Intelligence Community applies for review by the Data Protection Review Court, a special advocate will be selected by the Data Protection Review Court to advocate regarding the complainant's interest in the matter" (traduction : si le plaignant ou un élément de la communauté du renseignement demande un examen par la Cour de contrôle de la protection des données, un avocat spécial sera choisi par la Cour de contrôle de la protection des données pour défendre l'intérêt du plaignant dans l'affaire).
Si la DPRC considère que la réglementation américaine n'a pas été violée, elle transmettra au plaignant une simple information signalant que l'examen n'a révélé aucune violation, mais sans motivation. Le point (H) de la même section 3 du texte américain institute cette forme de secret de la procédure, au demeurant défendable - mais discutable - puisqu'il s'agit de renseignement national : "After a review is completed in response to a complainant's application for review, the Data Protection Review Court, through procedures prescribed by the Attorney General's regulations, shall inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that 'the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation'" (traduction : "après l'achèvement d'un examen en réponse à la demande d'examen d'un plaignant, la Cour de contrôle de la protection des données, par le biais des procédures prescrites par les règlements du procureur général, informe le plaignant, par l'intermédiaire de l'autorité publique appropriée dans un État admissible et sans confirmer ou nier que le plaignant a fait l'objet d'activités de renseignement d'origine électromagnétique des États-Unis, que 'l'examen n'a pas identifié de violations couvertes ou que la Cour de contrôle de la protection des données a rendu une décision exigeant des mesures correctives appropriées'").
Le plaignant ne reçoit donc pas une décision à la lecture de laquelle il peut comprendre les motifs pour lesquels sa plainte est déclarée non fondée. Là encore, le caractère effectif du recours est discutable, comme s'en inquiétait le CEPD/EDPB dans son avis. Celui-ci s'est en effet déclaré "préoccupé par l'application générale de la réponse standard du DPRC notifiant au plaignant qu'aucune violation couverte n'a été identifiée ou qu'une décision exigeant des mesures correctives appropriées a été prise, d'autant plus que cette décision ne peut faire l'objet d'un recours. L'EDPB invite donc la Commission à surveiller de près le fonctionnement pratique de ce mécanisme".
La question reste de savoir si la Cour de justice considèrera, ou non, que l'équilibre réalisé entre sécurité nationale américaine - en filigrane - et protection des données des européens est légitime et proportionné, au regard de l'objet et du but du RGPD.
Il n'est en tout cas pas certain, en l'état, que la décision d'adéquation survive à un contentieux qui ne manquera pas d'être intenté prochainement.
Ce qu'il faut retenir :
Publié le 17/07/2023