Les transferts UE-EU. Depuis l’adoption du RGPD, la question des transferts de données à caractère personnel de l’Union européenne vers les États-Unis tient en haleine. Il faut dire que le feuilleton est à rebondissements et que les enjeux économiques et politiques sont énormes tant ces transferts sont nombreux du fait de la nationalité des géants du numérique comme de la localisation des serveurs de stockage.
Si les responsables de traitement peuvent transférer pareilles données hors de l’UE, c’est à la condition d’assurer un niveau de protection des données suffisant et approprié. Différents outils juridiques, décrits au chapitre V du RGPD, permettent d’atteindre cet objectif. En l’absence de décision d’adéquation par la Commission européenne pour les États-Unis, la voie de l’accord bilatéral a été préférée aux autres mécanismes (à savoir les clauses contractuelles types ou CCT et les binding corporate rules ou BCR), pour être par deux fois mise en échec. En effet, les deux accords, le Safe Harbor puis le Privacy Shield, ont été invalidés par la CJUE.
Les décisions d’invalidation. À la suite des révélations d’Edward Snowden sur les pratiques de surveillance des autorités américaines, le Safe Harbor est invalidé par la CJUE dans l’arrêt dit « Schrems I » (CJUE, 6 octobre 2015, aff. C-362/14, Maximillian Schrems c/ Data Protection Commissioner). L’accord consacrait une auto-certification des entreprises américaines auprès de la chambre de commerce américaine. Le Privacy Shield reprenait le même principe tout en limitant la surveillance avec la directive présidentielle 28 (Presidential Policy Directive 28, PPD-28, Signals Intelligence activities) et en instituant un médiateur indépendant de l’administration américaine, dit « Ombudsperson », chargé de traiter les plaintes liées. Mais l’avocat autrichien à l’origine de la première décision dépose une nouvelle plainte et obtient l’invalidation du Privacy Shield par la CJUE, dans un arrêt dit « Schrems II » (CJUE, 16 juill. 2020, aff. C-311/18, Data Protection Commissioner c/ Facebook Ireland Ltd et Maximillian Schrems). La Cour considère que plusieurs programmes américains de surveillance permettent à des agences de renseignement de traiter massivement des données personnelles sans garanties suffisantes et sans supervision. En outre, l’absence de droits effectifs au bénéfice des personnes « non américaines » contrevient directement aux exigences d’adéquation du RGPD. Par ailleurs, la CJUE ajoute que la présence de CCT ne présume pas de l’équivalence du niveau de protection à celui garanti au sein de l’Union européenne. Dès lors, dans le cas des États-Unis, des « mesures supplémentaires » sont nécessaires, sans que cela n’affecte, de manière générale, la validité des CCT.
L’incertitude liée. S’est ouverte alors une période d’incertitude juridique problématique en considération de la masse des transferts. En effet, les transferts de données personnelles vers les États-Unis ne pouvaient donc plus être fondés sur un accord général valant adéquation, le Privacy Shield, ni sur des CCT ou des BCR, dans la mesure où le responsable de traitement pouvait tomber sous le coup des lois de surveillance litigieuses. Certes, et comme le rappelle la Cour dans l’arrêt « Schrems II », restent les modalités dérogatoires de l’article 49 du RGPD. Mais il s’agit bien là d’exceptions à la règle, qui ne sauraient devenir le principe, pour des transferts « occasionnels » ou « non répétitifs ». En outre, ces cas dérogatoires ne dispensent pas, dans le pays destinataire, d’un niveau adéquat de protection des données et de la mise en place de garanties appropriées, comme l’a exprimé le CEPD dans ses lignes directrices sur l’article 49 (Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679, 25 mai 2018).
La nouvelle tentative. Pour autant, on ne saurait nier que l’enjeu économique est colossal… Les transferts de données transatlantiques seraient essentiels dans la relation économique UE-EU, laquelle représenterait 7,1 billions de dollars ! Aussi, le président Biden et la présidente de la Commission européenne von der Leyen ont annoncé en mars 2022 la signature prochaine d’un nouvel accord (FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework – The White House).
Le 7 octobre 2022, le président américain a signé un Executive Order visant à modifier la législation américaine et à introduire de nouvelles garanties pour encadrer les renseignements par voie « électromagnétique » ; ces garanties sont complétées de mécanismes juridictionnels dédiés aux litiges liés aux données collectées lors des activités de renseignement, dont pourront bénéficier les personnes concernées, sans considération de leur nationalité.
Reste à savoir si ce futur accord prendra bien en compte les recommandations de la CJUE. Nul doute en revanche qu’il fera l’objet d’un recours, Maximillian Schrems et son ONG NOYB (My privacy is none your business) affirmant déjà que « rien n’indique que la surveillance de masse américaine changera dans la pratique. La « surveillance de masse » se poursuivra dans le cadre du nouveau décret (voir section 2 (c)(ii)) et toutes les données envoyées aux fournisseurs américains finiront toujours dans des programmes comme PRISM ou Upstream, bien que la CJUE ait déclaré à deux reprises que les lois et pratiques de surveillance américaines n’étaient pas « proportionnées » (au sens européen du terme) ». Il est également relevé que la « Cour de révision de la protection des données » (Data Protection Review Court) n’est pas un vrai tribunal, mais une simple « version améliorée du précédent système de « médiateur » », invalidé par la CJUE (https://noyb.eu/fr/le-nouveau-decret-americain-peu-de-chances-de-satisfaire-la-legislation-europeenne).
À suivre… La saga se poursuit. Transferts de données personnelles UE-EU, épisode 3. En route vers une décision « Schrems III », donc.