Décision d'adéquation de la Commission européenne concernant les États-Unis - le transfert de données personnelles vers de nombreuses entreprises américaines redevient enfin possible en toute sécurité juridique
Le transfert de données vers des pays dont le niveau de protection des données est inférieur à celui de l'UE - comme par exemple les États-Unis jusqu'à présent - est en principe interdit. Or, la Commission européenne a adopté le lundi 10 juillet 2023 une décision d'adéquation pour un transfert de données sûr et fiable entre l'UE et les États-Unis.
Quelle est la signification et le contexte ?
Outre le traitement des données à caractère personnel au sein de l'UE et des États non membres que sont la Norvège, le Liechtenstein et l'Islande (pays secondaires), le RGPD prévoit également une réglementation pour le transfert de données vers des pays tiers.
Conformément à l'article 45, paragraphe 3, du RGPD, la Commission peut constater de manière contraignante, par le biais d'une décision d'adéquation, qu'un pays tiers offre un "niveau de protection adéquat", c'est-à-dire que la protection des données à caractère personnel y est matériellement équivalente à celle offerte dans l'UE. Si une telle décision existe, les données à caractère personnel peuvent être transférées à une entreprise située dans un pays tiers sur la base du RGPD dans les mêmes conditions qu'à une entreprise établie dans l'UE. Il n'est donc plus nécessaire de mettre en place d'autres mesures de protection supplémentaires, dont la conception était jusqu'à présent difficile et soumise à une grande insécurité juridique.
En 2016, la Commission européenne a présenté une telle décision d'adéquation pour les États-Unis dans le cadre du Privacy Shield, qui a toutefois été invalidée par la CJUE en 2020 à la suite d'une action de l'activiste autrichien Maximilian Schrems, comme l'avait déjà été l'accord précédent appelé Safe Harbor en 2015.
La Commission européenne a alors élaboré, en collaboration avec le gouvernement américain, un nouvel accord appelé "EU-US Data Privacy Framework", qui vise à combler les lacunes que la CJUE avait critiquées dans son arrêt. C'est à cet accord que se réfère l'actuelle décision d'adéquation de la Commission européenne.
Quelles sont les nouveautés ? Qui peut stocker et traiter des données à caractère personnel aux États-Unis ?
Il est important de noter que la décision d'adéquation de la Commission européenne ne se réfère pas aux États-Unis en tant que tels, mais au cadre UE-US sur la protection des données et donc uniquement aux entreprises qui ont adhéré à ce cadre. Pour ce faire, les entreprises américaines doivent s'engager à respecter des obligations détaillées en matière de protection des données et sont ensuite inscrites dans un registre qui peut être consulté sur le site https://www.dataprivacyframework.gov/s/participant-search. Par conséquent, si un contractant d'une entreprise de l'UE est inscrit dans ce registre, les données à caractère personnel peuvent lui être communiquées de la même manière qu'à un contractant européen. Le problème de l'implication de nombreux prestataires de services américains dans le domaine des logiciels, par exemple lors de l'utilisation de systèmes SaaS, peut ainsi être réglé en toute sécurité juridique. Il s'agit par exemple de Microsoft, Google et Amazon, mais pas d'Apple.
Quelles sont les conséquences de cette décision ?
Une base juridique est à nouveau créée pour la circulation transatlantique des données vers les États-Unis, ce qui la facilite considérablement. En cas d'implication de fournisseurs de services américains ayant adhéré au cadre UE-États-Unis sur la protection des données, les entreprises de l'UE n'ont donc pas à craindre d'actions de la part des autorités de surveillance de la protection des données ou d'avertissements. Les mesures prises jusqu'à présent, telles que les clauses standard de protection des données, qui obligeaient à réaliser une évaluation coûteuse de l'impact du transfert, ne sont donc plus nécessaires. En mars 2023, le tribunal de grande instance de Cologne avait décidé, à la suite d'une plainte déposée par la centrale des consommateurs de Rhénanie-du-Nord-Westphalie contre Deutsche Telekom, que l'utilisation de Google Analytics était illégale du seul fait du transfert de données vers les États-Unis. L'utilisation de Google Analytics continuera certes à nécessiter un aménagement en matière de protection des données. Toutefois, l'aspect du transfert de données vers les États-Unis ne pose plus de problème à l'heure actuelle.
Comment la protection des données est-elle organisée et comment les réserves de la CJCE sont-elles satisfaites ?
Les autorités américaines pourront toujours accéder aux données à caractère personnel stockées aux États-Unis à des fins de poursuite pénale et de sécurité nationale. Cette possibilité d'accès est toutefois limitée à "ce qui est nécessaire et proportionné".
Des contrôles réguliers effectués par la Commission européenne, des représentants des autorités européennes de protection des données ainsi que des autorités américaines compétentes doivent garantir que toutes les exigences du nouveau cadre de protection des données sont pleinement respectées et qu'elles déploient effectivement leur efficacité dans la pratique.
L'absence de contrôle judiciaire indépendant sur l'accès aux données est comblée par la création d'un nouveau tribunal aux États-Unis, le Data Protection Review Court. Celle-ci permet aux citoyens de l'UE de bénéficier d'un contrôle gratuit de la protection des données. Si elle constate qu'une collecte de données n'a pas respecté les nouvelles garanties, elle peut ordonner des mesures correctives contraignantes, notamment l'effacement des données.
Néanmoins, M. Schrems a déjà annoncé son intention de porter à nouveau plainte devant la CJCE. Selon lui, le nouvel accord est "en grande partie une copie des anciens principes" et n'apporte pas une protection suffisante, car les États-Unis et l'UE ont une compréhension différente de ce qui est "proportionné".
Le commissaire fédéral à la protection des données et à la liberté d'information (BfDI) constate certes lui aussi d'une part que "pour les personnes concernées et les exportateurs de données, il y a maintenant une sécurité juridique". D'autre part, il exprime également des réserves : "On ne sait pas actuellement si cet accord résoudra les problèmes décrits ou si le litige se poursuivra jusqu'à une décision 'Schrems III', et cela reste donc à voir".
Conclusion
Actuellement, les entreprises de l'UE bénéficient d'une sécurité juridique suffisante en ce qui concerne le transfert de données vers des entreprises aux États-Unis qui ont adhéré au cadre de protection des données UE-États-Unis. Il reste à voir si une plainte sera déposée à ce sujet. En tout état de cause, plusieurs années s'écouleraient jusqu'à la conclusion d'une procédure judiciaire, de sorte que le transfert de données vers les États-Unis serait à nouveau possible en toute sécurité juridique, du moins pendant un certain temps.
Les solutions utilisées jusqu'à présent pour justifier un transfert de données vers les États-Unis devraient être adaptées au nouveau cadre de protection des données UE-États-Unis comme base solide. Nous nous ferons un plaisir de vous conseiller à ce sujet.