En 2015, à l’issue d’une procédure menée par l’avocat Max Schrems, la CJUE a invalidé le « Safe-Harbor », accord qui avait été négocié entre la Commission européenne et les Etats-Unis. Ce texte permettait aux entreprises adhérentes à ce mécanisme, établies outre-Atlantique, d’avoir l’autorisation de transférer des données personnelles en provenance de l’Europe vers les Etats unis simplement en déclarant respecter la législation européenne.

Au « Safe Harbor », succéda un nouvel accord, toujours négocié entre la Commission européenne et les Etats-Unis. Le « Privacy Shield », fut aussi invalidé par la CJUE en 2020 suite, pour la deuxième fois, à l’action menée par le même avocat autrichien Schrems. Sans grands changements, ce texte prévoyait toujours un régime permettant aux entreprises américaines de transférer et de stocker des données personnelles de l’Europe, mais comprenait également des clauses contractuelles permettant des transferts vers des Entreprises établies hors de l’UE.

Quelles que soient les modalités d’application du troisième texte en gestation sur l’encadrement du transfert de nos données, rien ne justifie qu’elles soient toujours dépendantes du système américain.

C’est maintenant à la Commission européenne d’évaluer si le niveau de protection proposé par les Etats Unis est suffisant, s’il est équivalent au niveau de protection proposé dans les 27 Etats membres, et surtout si le texte est compatible avec le RGPD.

Ce qui doit nous inciter à la prudence, c’est que dans le nouvel accord UE/USA ne sont traitées que les infractions au droit américain.

L’administration américaine a retenu quelques leçons des deux camouflets précédents, mais seulement à la marge. La proposition reste donc dangereusement insuffisante.

Commentaire de l’Institut

Si les Etats-Unis s’engagent à ce que l’accès aux données des européens soit « proportionné » cela ne pourra être considéré comme une avancée que lorsqu’on se sera accordé sur une interprétation de ce mot et qu’une définition claire en aura été donnée. Le décret a introduit la création d’une « Cour d’examen » consacrée à la protection des données. Cette « cour » est placée sous la tutelle du ministère américain de la Justice (DOJ). Les européens pourront la saisir en cas de litige, afin de faire valoir leurs droits devant les autorités américaines : ce qui est totalement inenvisageable.

Comment peut-on accepter de laisser peser sur des citoyens européens, victimes du détournement de leurs données personnelles, la charge d’une procédure lourde et onéreuse de recours auprès d’une juridiction régie par le droit américain ?
C’est la double peine. Cette question, absolument inaudible au regard du RGPD devra être tranchée par la Commission européenne, sinon à elle seule cette disposition devrait suffire à justifier la saisine de la Cour de Justice de l’Union Européenne.

Même si le décret américain apporte des limitations juridiquement contraignantes et un contrôle qui se veut « indépendant », il est évident qu’il ne constitue en aucune façon une amélioration substantielle par rapport au « Privacy Shield ». Le défi était grand et il est loin de répondre aux attentes.

Tel que ce décret est présenté par le gouvernement américain, non seulement les contraintes des entreprises pour protéger leurs données ne seront pas simplifier mais surtout l’accord, qui ne comporte que des généralités ne répond pas à l’insécurité juridique et à l’équilibre entre les parties que l’on serait en droit d’en attendre. Très imprécis pour l’instant, ce texte se veut rassurant, mais son analyse ne résiste pas à la l’évidence qu’il n’assure pas en l’état le niveau requis par le RGPD pour la protection des données et n’instaure aucune sécurité au flux des données.

La Commission devrait rédiger dans les mois qui viennent, la décision d’adéquation qu’elle devra soumettre à l’approbation des Etats membres Si l’on en croit les communiqués de presse qu’elle publie, elle se dit persuadée que ce nouvel accord va instaurer un nouveau cadre qui garantira la stabilité de la circulation des données des européens. A n’en pas douter, elle espère le faire adopter rapidement.

L’UE exerce une compétence partagée avec les Etats membres pour signer des accords internationaux notamment dans le domaine des affaires étrangères. Le Conseil de l’UE a donc un rôle important dans la négociation et il intervient à tous les stades de la procédure. Il faut donc espérer que les Etats Membres sauront jouer leur rôle, et auront à cœur d’améliorer ce texte en lui apportant les modifications et les précisions indispensables : c’est-à-dire la sécurité nécessaire si l’on ne veut pas continuer à mettre en péril le transfert de nos données.

Le Parlement européen sera consulté pour avis mais malheureusement en ce qui concerne les traités internationaux, le Conseil n’est pas lié par la position du Parlement mais seulement par l’obligation de le consulter.

Comme un grand nombre de commentateurs juridiques, l’Institut iDFrights pense qu’à bien des égards, cet accord est la chronique annoncée d’une nouvelle procédure devant la CJUE.

Nous sommes d’autant plus inquiets que cette souveraineté numérique européenne que la France appelle de ses vœux est souvent bafouée par ceux-là même qui devrait la soutenir. S’il est vrai qu’elle n’existe pas encore, il nous incombe d’y réfléchir collectivement et urgemment. Sans doute avons-nous pris du retard, mais nous avons des start-ups innovantes très performantes, et des développeurs techniquement et concrètement prêts à nous faire franchir ce pas. Soit nous partageons nos données entre européens en nous dotant d’infrastructures, et tout existe déjà en Europe, soit elles continueront à être à la portée des puissances étrangères.

Ces règlementations présentent toutes les deux des similitudes avec le RGPD, mais elles sont loin d’être aussi protectrices des données que le règlement européen. Les différences les plus fondamentales entre le texte européen et ceux de Californie et du Canada proviennent essentiellement des spécificités liées à l’approche de la protection des données dans les législations de ces deux Etats.

Différences notoires entre le RGPD et le CCPA (California Consumer Protection Act)

– Le CCPA exclut notamment de son champ d’application, les données médicales ce qui est dangereusement réducteur par rapport au champ d’application du RGPD.

– Le CCPA protège uniquement les données personnelles des citoyens résidant en Californie alors que le RGPD protège toute personne résidant hors de l’UE si le traitement de ses données est fait par une entreprise européenne.

Commentaire de l’Institut

Le RGPD est le premier texte européen qui du fait qu’il protège toute personne résidant hors de l’UE à condition que ses données soient traitées sur le sol européen, présente un caractère d’extraterritorialité. C’est notamment pour cela qu’il reste, malgré toutes ses imperfections, une référence internationale en matière de protection des données.

Le Digital Cloud Act (DGA), renforcé en 2018 par Donald Trump s’autorise l’extraterritorialité à des fins d’intrusion dans les données mondiales (donc européennes), dès l’instant qu’elles sont sur des machines américaines.

A l’exact opposé, le RGPD étend de façon extraterritoriale, la protection des données dès l’instant qu’elles sont sur des systèmes européens. Intrusion d’un côté, protection de l’autre.
– Le CCPA s’applique uniquement aux entreprises à but lucratif exerçant une activité en Californie alors que le RGPD s’applique sans aucune restriction à l’ensemble des entreprises.

L’approche de la loi fédérale canadienne en matière de protection des données (projet C-27)

Cette proposition canadienne, encore en négociation, est à mi-chemin entre le texte européen et le texte californien. Il est évident que la législation canadienne rappelle celle des Etats Unis, et à ce titre, elle reprend un certain nombre de principes édictés dans la loi californienne. Cependant on peut dire que dans l’esprit, elle s’inspire de préceptes importants développés dans le RGPD notamment en ce qui concerne son champ d’application qui couvre toutes les entreprises comme le prévoit le RGPD et son approche des principes de la protection de la vie privée.

Commentaire de l’Institut

Chaque province canadienne édicte ses propres lois qui prévalent sur son territoire. Le Québec a d’ailleurs lui aussi un texte sur la protection des données à l’étude. Il est donc évident qu’il faut espérer une harmonisation entre toutes ces règlementations pour éviter que dans ce pays, la protection des données personnelles soit trop fragmentée, ce qui aurait pour conséquence des complexités de gestion importantes pour les entreprises impactées par les législations canadiennes dans le contexte mondial du secteur du numérique pour faire valoir leurs droits.