Après l’invalidation du Safe Harbor et du Privacy Shield, le Data Privacy Framework parviendra-t-il à mettre d’accord Européens et Américains sur l’épineuse question du transfert de données vers les États-Unis ?

Le régime de transfert de données entre l’Union européenne et les États-Unis est une « saga » juridique qui dure depuis plus de huit ans maintenant. En 2015, l’arrêt « Schrems 1 » de la CJUE (Cour de justice de l’Union européenne) a en effet invalidé le Safe Harbor. Ce cadre juridique, signé en 2000, permettait à certaines entreprises américaines de certifier qu’elles respectaient la législation de l’Espace économique européen (EEE). Et ce dans le but d’obtenir l’autorisation de transférer des données personnelles de l’EEE vers les États-Unis.

La cause de cette invalidation ? Les révélations d’Edward Snowden en 2013 sur les dispositifs de surveillance d’Internet, des téléphones portables et de tous les moyens de télécommunication mondiaux par la NSA. L’arrêt « Schrems 1 » tire son nom d’une personne, Maximilian Schrems, avocat autrichien, activiste et cofondateur de l’association NOYB (None Of Your Business). C’est lui qui a mené l’action judiciaire auprès de la CJUE.

Du Safe Harbor au Privacy Shield

Après l’invalidation du Safe Harbor, la Commission européenne et les autorités américaines ont accouché d’un nouveau cadre réglementaire en 2016 : le « Privacy Shield ». Mais ce bouclier de protection des données a été invalidé quatre années plus tard (en 2020) par la même Cour de justice de l’Union européenne, à la suite d’une action en justice menée par le même Maximilian Schrems. L’arrêt porte d’ailleurs à nouveau son nom : l’arrêt « Schrems 2 ».

L’arrêt « Schrems 2 » s’appuie notamment sur le RGPD dont la mise en application est intervenue dans l’intervalle, en mai 2018. La Cour de justice de l’Union européenne a en effet considéré que le Privacy Shield était incompatible avec les exigences d’adéquation posées à l’article 45 du RGPD. Cet article précise, entre autres, qu’un transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que lorsque la Commission a constaté par voie de décision que le pays tiers en question assurait un niveau de protection adéquat.

Or, selon la CJUE, « le droit de ce pays tiers [les États-Unis, NDLR] ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa règlementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences ». Par « ingérences », il faut comprendre les accès, par les services de renseignement américains, aux données des fournisseurs de services Internet et des entreprises de télécommunications nationales.

Le Data Privacy Framework en gestation

À la suite de l’arrêt « Schrems 2 », les autorités européennes et américaines ont repris le chemin des négociations. Le président des États-Unis, Joe Biden, a adopté le 7 octobre 2022 un Executive Order visant à renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains.

Ce nouveau cadre légal, qui porte désormais le nom de « Data Privacy Framework », a été soumis à la Commission européenne afin qu’elle évalue s’il permet d’assurer un niveau de protection adéquat des données des Européens. Avant de se prononcer définitivement sur le caractère adéquat de ce nouveau dispositif, la Commission a soumis, le 13 décembre 2022, un projet de décision pour avis au CEPD (Contrôleur européen de la protection des données), l’organe regroupant l’ensemble des autorités de protection des données au niveau européen.

Le 28 février 2023, le CEPD a adopté et publié son avis sur ce projet de décision d’adéquation. Le CEPD y relève les améliorations apportées par le gouvernement des États-Unis dans le cadre du nouveau cadre de protection des données transférées vers ce pays, tout en faisant part de ses préoccupations sur un certain nombre de points. Il revient notamment sur l’épineuse question de l’accès et de l’utilisation des données personnelles transférées aux États-Unis par les autorités publiques américaines.

Dans une note publiée sur le site Lefebvre Dalloz, Jessica Eynard, maître de conférences en droit à l’université de Toulouse Capitole, rappelle que le CEPD différencie deux cas : l’accès aux données (ou leur utilisation) se fait soit à des fins d’application de la loi pénale, soit pour des raisons de sécurité nationale. Dans les deux cas, les mêmes éléments sont pris en compte, à savoir :

  • L’accès des services répressifs aux données à caractère personnel doit être fondé sur des règles claires, précises et accessibles ;
  • La nécessité et la proportionnalité par rapport aux objectifs légitimes poursuivis doivent être démontrées ;
  • Un mécanisme de contrôle indépendant doit exister ;
  • L’individu doit disposer de voies de recours efficaces ;
  • Des garanties doivent être prévues en cas d’utilisation ultérieure des informations collectées.

« Malgré l’ensemble des réserves soulevées, le CEPD note positivement les améliorations substantielles apportées par l’ensemble des textes applicables par rapport au cadre juridique précédent, en particulier en ce qui concerne l’introduction des principes de nécessité et de proportionnalité et du mécanisme de recours individuel pour les personnes concernées de l’Union européenne (p. 6). On peut dès lors espérer que cette troisième tentative de la Commission européenne, survenant après les invalidations du Safe Harbor et du Privacy Shield, permette enfin aux acteurs de transférer des données personnelles de l’Union européenne vers les États-Unis en toute sécurité », commente Jessica Eynard.

Vers un troisième round mené par Maximilian Schrems ?

L’optimisme affiché par Jessica Eynard n’est pas forcément partagé par d’autres acteurs du secteur, au premier rang desquels se trouve Maximilian Schrems. Dans une déclaration publiée sur le site None Of Your Business (NOYB), ce dernier avait déclaré dès le mois de décembre 2022 : « Nous allons analyser le projet de décision en détail dans les prochains jours. Comme le projet de décision est fondé sur le fameux Executive Order, je ne vois pas comment il pourrait survivre à une contestation devant la Cour de justice. Il semble que la Commission européenne ne fait qu’émettre des décisions similaires encore et encore – en violation flagrante de nos droits fondamentaux. »

Le doute est également de mise auprès des membres de l’AFCDP, association française regroupant plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés – dont les délégués à la protection des données (DPD ou DPO, pour Data Protection Officer). Dans le cadre de son baromètre trimestriel, publié en mars 2023, l’AFCDP a mené une enquête en ligne auprès de ses membres.

Un nombre réduit de répondants (3%) estiment à ce stade que le nouvel accord « Data Privacy Framework » est suffisant. Les professionnels de la protection des données personnelles ont bien conscience du chemin à parcourir encore, avant d’obtenir un accord efficace pour les transferts de données entre les deux continents au quotidien (34% des répondants). Réponses presque équilibrées avec ceux qui considèrent que l’accord en l’état ne peut pas remplacer le Privacy Shield (37%). À noter, également, un nombre conséquent d’abstentionnistes (26%) qui ne se prononcent pas sur la question.

« Ce qui est sûr, c’est que les professionnels de la protection des données personnelles n’ont pas encore de solution viable pour garantir la conformité de leurs traitements de données personnelles entre les États-Unis et l’Europe. Cependant, le décret signé par Biden pour permettre ce nouvel accord Data Privacy Framework marque bien une volonté du gouvernement américain de trouver un compromis qui puisse garantir une certaine protection des données personnelles entre les deux continents. Nous suivons cela de près et espérons que ce premier pas en avant ne va pas rester lettre morte », souligne Paul-Olivier Gibert, président de l’AFCDP.

La saga du transfert des données entre l’Union européenne et les États-Unis est donc loin d’être terminée. Verra-t-elle un jour un dénouement arriver ? Une chose est sûre, cela risque de prendre encore un certain nombre d’années.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.