Pour rappel : L’acte d’adéquation UE-USA est une décision de la Commission européenne qui reconnaît que le cadre juridique de protection des données aux États-Unis est équivalent à celui de l’Union européenne, ce qui signifie en particulier qu’il est conforme aux dispositions du Règlement Général sur la Protection des Données (RGPD). Cette décision vise à permettre le transfert de données personnelles entre l’UE et les États-Unis, en toute sécurité et légalité, facilitant ainsi les échanges commerciaux et la coopération transatlantique tout en garantissant la protection des données des citoyens européens. Ce dernier point a déjà fait achopper deux précédents accords et le sujet est devenu très sensible dans les relations UE-USA.
La nouvelle décision d’adéquation permet de mettre en place le « Data Privacy Framework » (DPF) et est entrée en vigueur le 10 juillet 2023, après avoir été notifiée par la Commission européenne aux États membres. Ainsi, avec ce DPF, les données à caractère personnel peuvent à nouveau circuler librement et en toute sécurité depuis l’Espace économique européen vers les Etats-Unis, sans que des conditions de garanties ou des autorisations supplémentaires ne soient nécessaires. Cela concerne toutes les entités nouvellement certifiées mais également celles qui avaient obtenu une certification « Privacy Shield » et qui l’ont maintenue après l’invalidation de la décision d’adéquation.
En effet, ces entités ont été automatiquement inscrites sur la nouvelle « EU-US Data Transfer List » du département américain du Commerce puisque le DPF repose sur un mécanisme d’auto-certification ouvert à toute entité américaine acceptant d’adhérer aux principes du RGPD – l’inscription sur la liste faisant foi. Les entités disposaient de trois mois pour mettre à jour leur politique de confidentialité (jusqu’au 10 octobre 2023).
À noter : la mise à jour des politiques de confidentialité n’est pas forcément visible sur la fiche de l’organisme sur le site du Département du Commerce américain. Il est donc nécessaire que l’exportateur vérifie le contenu de la fiche de l’entité importatrice, afin de s’assurer notamment que les entités concernées (y compris les filiales) et les catégories de données traitées en l’espèce (données commerciales ou données relatives aux ressources humaines) sont couvertes par l’auto-certification.
Quelle est la durée de validité de cette décision d’adéquation ?
Conformément à l’article 45, paragraphe 9 du RGPD, une telle décision reste en vigueur jusqu’à sa modification, son remplacement ou son abrogation par une décision de la Commission européenne, si ce niveau de protection des données n’est plus jugé adéquat à l’occasion des examens d’évaluation du dispositif qui devront être réguliers. Le premier est prévu en juillet de cette année et selon le résultat de ce premier examen, la Commission décidera, en consultation avec les États membres, les CNIL européennes et le Comité européen de la protection des données (CEPD), de la périodicité des futures revues. Quoiqu’il arrive, la validité du DPF ne pourra pas excéder quatre ans.
Processus d’adéquation des données
La Commission estime que le DPF, basé sur le décret présidentiel américain, est comparable aux normes européennes en matière de protection des données. Cela signifie que les données personnelles des résidents de l’UE peuvent à nouveau être transférées légalement et en toute sécurité de l’autre côté de l’Atlantique.
Le Parlement européen, consulté pour avis, avait pourtant émis de très sérieuses réserves sur le DPF et la décision d’adéquation, dans une résolution de mai 2023, estimant que la Commission avait outrepassé ses pouvoirs pour imposer le DPF – notamment aux CNIL européennes et au CEPD, en ne répondant pas à leurs nombreux doutes et interrogations.
L’examen régulier de la décision instaurant le DPF ne sera donc pas qu’une formalité et un long fleuve tranquille quand il devra convaincre et s’assurer que les éléments pertinents du cadre juridique américain ont été pleinement mis en œuvre et fonctionnent efficacement dans la pratique. Les examens commenceront un an après l’adoption de la décision (juillet 2024) – article 45.3l du RGPD.
Défis juridiques
Le décret a été précédé d’un accord « de principe » annoncé en mars par le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen. Depuis lors, les deux exécutifs ont tenté de mettre au point un arrangement technique acceptable devant les tribunaux.
« Comme le projet de décision est basé sur le décret présidentiel connu, je ne vois pas comment cela pourrait survivre à une contestation devant la Cour de justice. Il semble que la Commission européenne ne fait qu’émettre des décisions similaires, encore et encore, ce qui constitue une violation flagrante de nos droits fondamentaux », a déclaré Max Schrems, l’avocat et activiste autrichien qui a donné son nom aux deux arrêts de la Cour (voir encadré ci-après).
Au moment de la publication du décret, M. Schrems avait déjà souligné plusieurs points critiques, à commencer par le fait que si l’administration américaine avait accepté de limiter les activités de surveillance de ses services de renseignements à ce qui est « nécessaire et proportionné », deux concepts fondamentaux du droit européen, rien ne permettait de penser que la surveillance de masse des États-Unis changerait dans la pratique. Les systèmes judiciaires et pratiques juridiques américains et européens sont très différents dans leur organisation et principes : c’est bien entendu également le cas s’agissant de leur définition de la « nécessité » et de la « proportionnalité ».
En ce qui concerne les recours juridiques, M. Schrems s’était également demandé si la Cour de révision de la protection des données (Data Protection Review Court), établie par le décret présidentiel, était un véritable tribunal dans la mesure où elle est rattachée à l’exécutif américain. Il estime que cet arrangement est une version améliorée de la précédente proposition de « médiateur », également venue du côté américain et précédemment rejetée par la CJUE.
La CJUE pourrait (à nouveau) annuler la décision d’adéquation
Plusieurs raisons sont évoquées, toutes pointant les similitudes entre ce DPF et ses versions précédentes. Les dernières relevaient notamment que :
1) Les membres de la Data Protection Review court (DPRC) sont nommés par le gouvernement fédéral des Etats-Unis, et elle est située au ministère de la Justice, c’est-à-dire au sein du pouvoir exécutif et non au sein du pouvoir judiciaire régi par l’article III de la Constitution américaine. Ceci au motif qu’aux USA, comme en France d’ailleurs, il faut avoir un intérêt et une qualité pour intenter une action en justice. Or, compte tenu de la jurisprudence américaine, il est presque impossible de démontrer un intérêt (préjudice réel, concret et précis) à l’égard des activités de renseignements qui sont, par définition, secrètes. La Commission européenne, pour sa part, considère cette organisation et ce fait acceptables, dans la mesure où dans la plupart des États membres, la protection des données est également logée au sein de l’exécutif.
Difficulté : les décisions des autorités de protection des données peuvent elles-mêmes faire l’objet de recours devant un juge. Or, la DPRC est elle-même une autorité de recours et elle n’est pas une institution judiciaire.
2) En cas de recours devant la DPRC, le plaignant ne pas intervenir directement dans la procédure : un avocat spécial est désigné pour représenter ses intérêts et informer la Cour de ses récriminations – ce qui revient quasiment à anonymiser la procédure et a comme un air de réponse à la notoriété acquise par M. Schrems à la faveur de ses recours ! De plus, si la DPRC considère que la loi américaine a été respectée et correctement appliquée, elle se contentera de transmettre au plaignant une information lui indiquant que l’examen de ses griefs n’a pas relevé de violation de la loi américaine et que la procédure est en conséquence terminée.
Difficulté : bien que probablement rapide et efficace, cette procédure ne brille pas par sa transparence et réduit sa dimension contradictoire à des échanges dépersonnalisés, puisqu’elle prive les plaignants de toute interaction directe avec la DPRC : côté européen, on s’inquiète donc du risque d’entrave à l’exercice des droits des plaignants dont on comprend aisément qu’ils seront majoritairement Européens.
3) La troisième critique porte sur le mécanisme d’auto-certification puisqu’il repose sur une adhésion volontaire aux principes du RGPD et une simple inscription des entités américaines sur la liste du département américain du Commerce. En pratique, ce mécanisme transfère donc sur les organisations européennes l’obligation de vérifier que le destinataire est bien inscrit sur la « EU-US Data Transfer List » ou qu’il a l’intention de la faire : une réponse affirmative du destinataire sera d’ailleurs une garantie suffisante à laquelle il faudra se fier puisqu’’aucune autre preuve ou attestation légale à produire n’est exigée !
Les contrôles seront eux effectués par le ministère américain de l’Économie, dont l’indépendance par rapport à des intérêts économiques européens ne fait évidemment aucun doute – d’autant qu’il n’a pour le moment pas encore précisé comment seront opérés ces contrôles, …
Le DPF couvrant également le transfert de données à caractère commercial, on comprend les doutes et interrogations des entreprises européennes, relayées par les CNIL, sur la double efficacité du mécanisme d’auto-certification et de contrôles. Le ministère américain de l’Économie semble avoir prêté une oreille attentive à la priorité des GAFAM et des autres grands consommateurs de données personnelles : le DPF ne doit pas remettre en cause leur modèle économique et ouvrir de droits nouveaux qui permettraient de le contester et de le fragiliser sur le territoire américain.
De là à penser que le DPF favorise surtout l’adéquation entre intérêts économiques américains au détriment de la protection des données européennes, il n’y a qu’un pas que nous ne franchirons pas – pas plus que les plaignants ne franchiront le pas de la porte de la Cour s’ils en étaient qui devaient s’obstiner à vouloir le penser !
Difficulté : si le DPF avait été plutôt bien accueilli par l’association française des DPO (Data Protection Officer), son baromètre trimestriel indiquait dès octobre 2023 que la majorité des DPO était très prudente quant à son utilisation, entre soulagement d’avoir à nouveau « un cadre stable […] après les mois d’incertitude » et anticipation que ce cadre ne durera pas pour autant – 50 % des répondants considérant que l’accord ne résout pas le problème et 33 % le considérant fragile. Selon le Président de l’AFCDP, Paul-Olivier Gibert, « L’AFCDP avait manifesté sa crainte que le DPF ne soit à nouveau l’objet d’une remise en cause, tant sa mise en place a été l’objet de réticences, en particulier de la part des autorités de contrôle, homologues de la CNIL, réunies au sein du CEPD/EDPB, mais aussi du Parlement européen ». Visionnaire, d’autant que pour une fois ce ne fut pas M. Schrems qui lança les hostilités !
Une première charge contre le DPF dès septembre 2023 :
C’est le député MoDem Philippe Latombe, membre de la CNIL, qui donna la première charge contre le DPF en déposant dès le 7 septembre un recours devant la CJUE, tant au fond s’agissant de sa conformité au RGPD et à la Charte des droits fondamentaux de l’Union européenne, que sur la forme en relevant qu’il n’avait été publié qu’en langue anglaise, M. Latombe y voyant le signe d’un « tropisme américano-centré ». Si la CJUE a rejeté le sursis à l’exécution de la décision d’adéquation tel que formulé dans le référé de M. Latombe, c’est uniquement car il n’avait « pas établi qu’il subirait un préjudice grave s’il n’était pas sursis à l’exécution de la décision attaquée ». La condition relative à l’urgence n’étant pas remplie, la CJUE n’a pas eu à motiver autrement sa décision et n’a donc pas encore examiné au fond la décision d’adéquation et le DPF.
Pas de quoi rassurer les entreprises, entre inquiétude et résignation, comme on peut encore le lire dans un article publié en ligne par Alphabet le 10 novembre 2023, (via Lexing) à propos de Google Analytics : « Sur le fond, il n’est pas certain, dans le cadre des recours formés à l’encontre de cette dernière et annoncés dès son entrée en vigueur, que la CJUE n’annule pas ladite décision. La solution Google Analytics peut être utilisée à date conformément au RGPD. Il est toutefois possible que la décision d’adéquation soit annulée à moyen terme. Les entreprises doivent donc se préparer à cette éventualité et l’anticiper dans leur roadmap. »
L’origine de l’action de Max Schrems remonte à 2011 et à une simple demande à Facebook de lui fournir ses données personnelles en lien avec ses publications sur sa page, conformément au règlement général sur la protection des données (RGPD) de l’Union européenne. Facebook avait estimé que la compilation complète de ses données personnelles pourrait prendre jusqu’à 71 ans. Cette réponse initiale a été un facteur déterminant pour M. Schrems, l’encourageant à déposer une plainte devant la Commission irlandaise de protection des données en vertu de la loi irlandaise de 1988 sur la protection des données. Cette plainte a finalement conduit à l’affaire juridique emblématique de Schrems contre Facebook.
Par la suite, M. Schrems s’est attaqué aux décisions d’adéquations prises par la Commission européenne s’agissant des systèmes adoptés par les Etats-Unis : ces derniers n’offrant pas un niveau de protection équivalent au RGPD européen, ces décisions d’adéquation ont été invalidées par la CJUE dans les fameux arrêts Schrems I pour le Safe Harbor et Schrems II pour le Privacy Shield. Pour rappel, le long combat de M. Schrems est principalement articulé autour des points suivants :
- Surveillance de masse: M. Schrems a souvent mis en avant le problème de la surveillance de masse par les agences de renseignement américaines, telles que la NSA, et ses implications sur la vie privée des citoyens européens. Il a remis en question l’efficacité des garanties mises en place pour protéger les données personnelles des Européens dans le cadre de ces accords.
2.Transferts de données : il a également critiqué la pratique des transferts de données transatlantiques, soulignant les lacunes dans les mécanismes de protection des données qui exposent les données personnelles des Européens à des risques de surveillance et d’exploitation.
- Rôle des entreprises technologiques : M. Schrems a souligné le rôle des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), dans la collecte et l’utilisation des données personnelles, mettant en garde contre les abus potentiels et les atteintes à la vie privée.
- Contestation judiciaire : Il a souvent été à l’avant-garde des contestations judiciaires contre les pratiques de collecte et de traitement des données par les gouvernements et les entreprises, plaidant pour des mesures plus strictes de protection de la vie privée et des droits numériques des individus.
Dans l’ensemble, Max Schrems a joué un rôle crucial en sensibilisant le public aux enjeux de la protection des données et en militant pour des réformes visant à renforcer la confidentialité et la sécurité des données personnelles.
Conclusion
Malgré les avancées perçues dans la décision d’adéquation, une analyse critique met en lumière des préoccupations substantielles. En réalité, cet accord-cadre semble surtout bénéfique aux entreprises américaines, qui peuvent compter sur l’auto-certification, les contrôles du ministère américain de l’Économie et une Cour fermée aux plaignants pour ne pas avoir à trop en redouter les griffes !
L’optimisme initial quant à la comparabilité du cadre juridique américain avec les normes européennes est tempéré par des défis juridiques qui à l’évidence restent aussi considérables que les incertitudes semblent persistantes d’une décision d’adéquation à la suivante. Les réserves émises par des voix autorisées, telles que celles de M. Schrems, soulignent la nécessité d’une réévaluation constante de cet accord. Les lacunes dans les mécanismes de recours juridiques et les divergences fondamentales entre les systèmes juridiques des deux continents soulèvent des interrogations sur la robustesse de la protection des données dans la pratique – à commencer par la vérification de l’adhésion des entités américaines aux principes du RGPD que l’auto-certification fait finalement peser sur les organisations européennes !
On comprend dès lors mieux que la Commission ait répété à de maintes fois qu’elle suivra en permanence le DPF afin de vérifier si ses garanties de protection sont effectives en pratique : à l’évidence, ce ne sont pas les ministères américains qui vont s’en préoccuper. Ils ont toutes les raisons d’être satisfaits d’une mesure d’adéquation aussi rigoureuse et contraignante que l’ouverture d’un compte sur un des réseaux sociaux gérés par les GAFAM ! N’en doutons pas, ces derniers mettront certainement à la disposition des équipes de la Commission européenne et de nos CNIL tous leurs algorithmes, leur puissance de calcul et autres IA – en revanche que ceux développés en open data, puisque les autres doivent être bien en sécurité dans les cloud et datacenters souverains américains, prêts à être commercialisé dans l’UE avec nos données personnelles, ça devrait au moins nous aider à pouvoir les acheter facilement quand ils seront disponibles cher nous…
Et nous comprenons ainsi aussi pourquoi nous sommes bien obligés de transférer nos données personnelles aux Etats-Unis puisque nous, Européens, avons la règlementation la plus avancée au monde et alors qu’eux, Américains, n’ont que presque tout le reste… les technologies, la propriété intellectuelle, l’industrie et les services associés.
Ce ne sont qu’autant de raisons supplémentaires pour veiller à ce que les citoyens européens restent informés et conscients des enjeux liés à la protection de leurs données personnelles, ainsi que des implications de cet accord d’adéquation UE-USA quant à sa capacité à défendre de manière équilibrée et efficace nos données personnelles, qui doivent bien quand-même avoir de la valeur pour susciter autant de convoitise.
L’Institut restera vigilant sur la mise en œuvre de cet accord et continuera d’examiner de près les développements dans ce domaine – qui sera certainement aussi abordé durant la campagne des élections européennes du 9 juin prochain.
POUR L’INSTITUT DES DROITS FONDAMENTAUX DU NUMERIQUE (IDFrights)
Jean-Marie CAVADA
Président iDFrights
THOMAS KIEFFER
Président KDC Conseil
Vice-Président iDFrights
Colette BOUCKAERT
Secrétaire Générale et responsable des Affaires européennes iDFrights