Le 10 juillet 2023, la Commission européenne a finalement rendu une décision très attendue relative aux évolutions de la législation américaine de protection des données à caractère personnel. Pour mémoire, suite à l’invalidation d’une précédente décision d’adéquation relative au « Privacy Shield » par la CJUE le 16 juillet 2020, les transferts de données vers les USA (et donc vers ou par la plupart des prestataires du numérique) posaient d’intenses difficultés dans la mise en conformité de ces transferts aux exigences de la législation européenne.
La décision d’adéquation de la Commission Européenne n’est, en soi, pas une surprise : elle était attendue suite aux modifications dont les USA avaient décidé dans le cadre d’un Executive Order signé par le président nord-américain le 7 octobre dernier. Beaucoup d’entreprises européennes, découragées par la nécessité pour elles de procéder à une analyse du droit américain (dont les conclusions étaient, qui plus est, assez prévisibles du fait de la décision de la CJUE en 2020), attendaient impatiemment que la législation américaine rénovée soit reconnue comme adéquate.
On rappelle que cet Executive Order impose de nouvelles règles aux autorités américaines œuvrant au renseignement, et précise, entre autres exigences, que :
- Les activités des agences de renseignement américain ne doivent agir qu’en vertu de leurs prérogatives statutaires ou d’un Executive Order ou autre directive présidentielle, conforme à la Constitution américaine ; bref, l’interception de données personnelles d’européens doit reposer sur une décision légale au regard du droit américain ;
- Ces activités doivent être soumises à des « garanties appropriées » permettant d’assurer le respect de la vie privée et des libertés civiles des individus, après avoir déterminé, « sur la base d’une évaluation raisonnable de tous les facteurs pertinents », qu’elles répondent à une « cause probable » et un impératif validé en matière de renseignement ;
- Ces activités ne sont menées que « dans la mesure et d’une manière proportionnées à la priorité validée en matière de renseignement pour laquelle elles ont été autorisées », dans le but d’assurer un juste équilibre entre l’objectif de l’investigation et l’impact sur la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur lieu de résidence ;
- Les objectifs des activités de renseignement doivent être légitimes (l’Executive Order énumère une longue liste des objectifs que les USA considèrent comme légitimes pour se protéger notamment contre le risque terroriste ou le risque climatique, l’espionnage, les armes de destruction massive, etc.) ;
- Les objectifs des activités de renseignement ne doivent pas être interdits (l’Executive Order énumère une liste d’objectifs prohibés tels que les atteintes à la liberté d’expression ou la liberté de la presse, la discrimination fondée sur l’origine ethnique, la religion ou l’identité sexuelle, la protection de la vie privée, mais aussi la collecte d’informations commerciales privées étrangères ou de secrets commerciaux dans le but de conférer un avantage concurrentiel aux entreprises américaines…) ;
- Les priorités du renseignement américain doivent être soumises à une évaluation par le bureau du directeur du renseignement national qui doit vérifier si l’investigation respecte la vie privée et les libertés civiles des personnes, quels que soient leur nationalité ou leur lieu de résidence – donc le respect des droits des européens sur leurs données personnelles au sens du RGPD. Peut-on considérer qu’un directeur du renseignement est le mieux placé pour contrôler le respect des droits et libertés des individus ? L’approche est assez originale… ;
- Un organisme distinct pourra recevoir et instruire les éventuelles plaintes des citoyens européens qui estimeraient que leur vie privée ou leurs droits fondamentaux sont bafoués par une activité de renseignement américaine – à supposer qu’ils en aient connaissance : « l’Officier de Protection des Libertés Civiles » (CLPO) ;
- Les décisions de cet organisme seront en outre susceptibles d’appel devant une nouvelle juridiction spécialisée, la « Data Protection Review Court » (DPRC), dont les membres devront être titulaires de compétences spécifiques en matière de protection des droits fondamentaux des individus et qui ne seront pas désignés par le gouvernement américain afin d’assurer leur indépendance, ni soumis aux directives dudit gouvernement. Cette cour recevra les plaintes des personnes concernées, et aura des capacités d’enquête et de vérification des activités du renseignement américain ainsi que des pouvoirs de sanction, pouvant aller jusqu’à faire supprimer les données collectées illégalement par le renseignement.
En février 2023, cet Executive Order et les nouvelles mesures déployées par les USA avaient cependant reçu un accueil mitigé de la part du Comité Européen de Protection des Données (CEPD) qui réunit les CNIL européennes. Le CEPD saluait de véritables progrès par rapport au précédent Privacy Shield, mais émettait cependant des réserves. La Commission Européenne est passée outre et a considéré que la nouvelle réglementation américaine répondait aux exigences européennes.
La première conséquence de cette décision d’adéquation est que la législation américaine est désormais reconnue, par la Commission Européenne, comme d’un niveau équivalent aux exigences du RGPD en Europe, en vertu de l’article 45 du RGPD qui dispose que :Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.
Cela ne signifie pas pour autant que tout transfert de données vers les USA, quelle qu’en soit la forme et le destinataire, est de nouveau licite sans qu’il soit besoin d’encadrer ce transfert par des garanties supplémentaires telles qu’exigées par les articles 46 et suivants du RGPD.
Cela signifie seulement qu’en théorie, il n’est plus besoin de recourir aux clauses contractuelles types dans les contrats liant les entités européennes et celles des entités américaines (notamment les sous-traitants américains) qui auront mis en œuvre les démarches nécessaires pour assurer leur conformité au « Data Privacy Framework » américain.
Parmi ces démarches figurent l’obligation de s’assurer que les données ne sont utilisées que pour les finalités déterminées et dûment portées à la connaissance des personnes concernées, et que ces données sont supprimées dès ces finalités accomplies. Classiquement, les entreprises américaines sont également tenues de déployer toutes mesures techniques et organisationnelles de nature à garantir la confidentialité des données.
La décision d’adéquation de la Commission européenne a notamment procédé à un travail d’alignement des concepts et principes européens avec ceux utilisés dans la nouvelle réglementation américaine, pour vérifier comment les exigences de spécificité, de transparence, de minimisation, d’accountability, etc. sont bel et bien reprises au sein du « Data Privacy Framework ».
La CNIL française a expressément conclu que :
« La Commission européenne constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’UE, les organismes soumis au RGPD (qu’ils soient responsables de traitement ou sous-traitants) peuvent désormais transférer des données personnelles vers les organismes certifiés qui se sont engagés annuellement et publiquement, à adhérer à ce cadre légal. Ils n’ont pas l’obligation de mettre en place un outil de transfert au titre de l’article 46 du RPGD ou de se prévaloir d’une dérogation au titre de l’article 49 du RGPD. »
La liste des entreprises américaines qui seront considérées comme conformes aux exigences du Data Privacy Framework est publiée par le Département américain du Commerce. Lorsque l’entreprise américaine considérée figurera sur cette liste, il ne sera donc plus nécessaire de négocier avec elle des clauses contractuelles types, non plus que les « mesures additionnelles » complexes recommandées précédemment par le CEPD.
Il est à noter que cette décision d’adéquation n’est pas rétroactive : elle ne permet les transferts vers les prestataires américains sans autre précaution que pour l’avenir, et pour les seuls prestataires qui seront inscrits sur cette liste.
Si une entreprise américaine ne figure pas sur la liste, les obligations des articles 46 et suivants du RGPD s’appliquent, et il est alors nécessaire de conclure avec cette entité des clauses contractuelles types (version 2021) ou d’identifier un autre mécanisme acceptable de protection des données (tel que les « binding corporate rules » si l’entité américaine en a déployé).
La Commission européenne devra réévaluer régulièrement si la réglementation américaine (et sa pratique) demeurent conformes aux exigences européennes, le premier réexamen étant prévu dans un an.
Il est également à noter que cette décision d’adéquation apporte une solution partielle aux problèmes rencontrés par les transferts de données personnelles vers des destinataires américains uniquement ; elle laisse intacte la problématique concernant des destinataires situés dans d’autres pays extra-européens, tels que les prestataires basés en Chine ou dans de nombreux pays étrangers où se pratiquent des activités de offshoring.
Est-ce que cette décision d’adéquation apporte réellement une conclusion aux difficultés récurrentes rencontrées pour aligner les législations américaine et européenne ? Rien n’est moins certain.
En effet, les deux précédentes réglementations américaines, le Safe Harbor, puis le Privacy Shield, avaient en leur temps bénéficié également d’une décision d’adéquation de la Commission Européenne, ce qui n’avait pas empêché leurs invalidations successives.
L’association NOYB, à l’origine de l’invalidation du Privacy Shield, a d’ores et déjà annoncé qu’elle introduirait un recours contre cette décision d’adéquation. L’association considère en effet que l’affirmation selon laquelle les investigations du renseignement américain seront désormais « nécessaires » et « proportionnées » est une pétition de principe qui ne sera pas respectée dans les faits. En outre, l’association estime que la « Data Protection Review Court » mise en place n’est pas un véritable recours « juridictionnel » au sens exigé par les garanties essentielles européennes, à l’instar du précédent médiateur qui existait dans le Privacy Shield. Tout dépendra de ce que la CJUE pensera de ce nouvel organe américain, et de l’effectivité des recours possibles pour les citoyens européens, mais les mêmes causes menant généralement aux mêmes conséquences, il n’est pas certain que la décision d’adéquation de la Commission Européenne résiste dans la durée. Une nouvelle invalidation prononcée par la CJUE, dont on ne peut pas écarter qu’elle puisse advenir, créerait une nouvelle période d’incertitude dans 2ou 3 ans.
Dans ce contexte, il est vivement recommandé aux entreprises européennes de maintenir un niveau d’exigence poussé dans la protection de leurs données personnelles par leurs cocontractants américains, même si ce niveau d’exigence pourra paraître superflu, voire être refusé par les entreprises américaines qui auront obtenu leur inscription sur la liste du Département fédéral du Commerce.
En particulier, dans la mesure où le chiffrement des données de bout en bout est l’une des rares mesures « additionnelles » qui a été reconnue comme « efficace » par les CNIL européennes, il est vivement conseillé de maintenir ce type d’exigence chaque fois que nécessaire.
Et comme le sort du nouveau « Data Privacy Framework » est incertain, il est également recommandé de compléter les contrats conclus avec les entités américaines par les clauses contractuelles types européennes, quand bien même elles ne seront plus formellement nécessaires avec les entreprises américaines figurant sur cette liste.
Bien que de nombreuses entités, des deux côtés de l’Atlantique, puissent se sentir soulagées de cette décision d’adéquation qui les dispense, pour l’heure, des nombreuses complications liées aux divergences entre les réglementations respectives de l’Union européenne et des USA, il ne peut être raisonnablement considéré que ces difficultés sont désormais du passé. Les entreprises françaises et européennes sont donc invitées à la plus grande circonspection, et au maintien d’exigences techniques poussées afin de sécuriser leurs traitements de données personnelles dans la durée, contre les probables vicissitudes à venir dans un contexte juridique très mouvant.
