Le 10 juillet 2023, la Commission européenne a constaté que les États-Unis (US) assurent – à nouveau ! – un niveau de protection des données personnelles comparable à celui de l’Union européenne (UE).
La Commission a donc adopté une nouvelle décision d’adéquation concernant le cadre de protection des données UE-US : le Data Privacy Framework (DPF).
Ladite décision met en exergue deux recours offerts aux personnes concernées :
- un recours en cas de transferts de données à caractère personnel de l’Union européenne vers des entités situées aux États-Unis ; et
- un second recours en cas d’accès par les autorités américaines aux données personnelles transférées par l’Union européenne
Le recours en cas de transferts de données à caractère personnel
L’absence de recours efficace pour les personnes concernées avait notamment mené la Cour de justice de l’Union européenne à invalider le Privacy Shield.
Le nouveau cadre de protection UE-US impose aux organisations établies sur le territoire américain de mettre à la disposition des personnes concernées, y compris celles situées au sein de l’Union européenne, un mécanisme leur permettant de formuler une plainte si elles estiment que les règles définies par le DFP ne sont pas respectées. Elles doivent également mettre en place un dispositif permettant un traitement desdites plaintes.
Dans ce contexte, selon l’organisation choisie par les entités établies sur le territoire américain, les personnes concernées peuvent déposer une plainte directement auprès de l’entité, auprès d’un organisme indépendant de règlement des litiges désigné par les entités américaines aux Etats-Unis ou au sein de l’Union européenne ou encore auprès des autorités nationales de protection des données, si l’entité américaine s’est engagée à coopérer avec ladite autorité nationale.
Le Département du Commerce (U.S. Department of Commerce – DoC) et la Federal Trade Commission (FTC) seront également partie prenante dans certains cas.
A cet égard, le Parlement européen avait relevé que le DPF n’apporte pas d’évolutions par rapport à l’existant (Point 10 de la résolution).
Dès lors, les contrôles du respect de cette obligation par les entités auto-certifiées menés par les autorités américaines compétentes seront instructifs. Ils pourraient également être réalisés pour donner des gages de conformité et de bonne volonté aux observateurs et acteurs au sein de l’Union européenne.
Le recours en cas d’accès par les autorités américaines aux données personnelles transférées par l’Union européenne
En 2020, Max Schrems, avocat militant pour la protection des données personnelles, déposait plainte auprès de l’autorité irlandaise de contrôle afin de faire interdire le transfert de données personnelles de l’Union européenne vers les États-Unis. Il soutenait que le droit et les pratiques des États-Unis n’offraient pas de protection suffisante contre l’accès, par les autorités publiques, aux données personnelles transférées vers ce pays. Argument qui avait amené à l’invalidation du Privacy Shield.
Au sein de sa décision d’adéquation du 10 juillet 2023, la Commission évalue les mécanismes de contrôle et de recours individuel prévus par le droit américain. La Commission a concentré son analyse sur la collecte et l’utilisation ultérieure par les autorités publiques américaines de données à caractère personnel, en particulier à des fins pénales et à des fins de sécurité nationale. A cet égard, la Commission européenne estime que les ingérences des autorités publiques américaines à des fins de sécurité nationale ou à des fins d’enquêtes criminelles sont proportionnées au regard des finalités et objectifs poursuivis.
La Commission relève aussi que depuis le décret présidentiel du 7 octobre 2022, une procédure de recours à deux niveaux a été prévue et qu’elle doit être prise en compte dans le cadre de l’appréciation de l’adéquation.
Ce mécanisme de recours prévoit d’abord la possibilité pour les individus de déposer une plainte concernant les activités de renseignement américain auprès de l’Officier de protection des libertés civiles (Civil Liberties Protection Officer, CLPO) chargé de contrôler le respect par les agences de renseignement américaines de la vie privée et des droits fondamentaux des individus.
Le CLPO procède alors à un examen pour déterminer s’il y a eu violation de la loi américaine applicable. Si une violation est constatée, des mesures de remédiation appropriées sont décidées, et ces décisions sont contraignantes pour les agences de renseignement concernées.
Ensuite, les individus ont la faculté de contester la décision du CLPO devant la Data Protection Review Court (DPRC), juridiction composée de juges nommés pour une durée de quatre ans, en charge de l’examen des plaintes. Soit la DPRC conclut à l’absence de violation de la réglementation américaine, soit la Cour constate une telle violation. Si la DPRC conclut que la réglementation américaine n’a pas été violée, le plaignant reçoit une information quant à l’issue du recours initié. Ainsi, le plaignant n’a pas connaissance des éléments d’analyse pris en compte par la DPRC pour fonder sa décision. En revanche, si la DPRC constate que des données ont été collectées en violation des nouvelles garanties, il est habilité à ordonner la suppression de ces données.
Bien que la décision de la Commission européenne constate l’adéquation de ce dispositif avec les règles européennes, il convient de souligner que l’indépendance de la DPRC est questionnée, notamment par le Parlement européen, pour les motifs suivants :
- Le Président des États-Unis pourra annuler les décisions de la DPRC, sans qu’aucune publicité ne soit donnée à cette décision d’annulation,
- Le Président des États-Unis pourra révoquer les juges de la DPRC pendant leur mandat,
- Les membres de la DPRC sont nommés par le gouvernement et il existe un rattachement au pouvoir exécutif et non au pouvoir judiciaire, tel que prévu par l’article III de la Constitution américaine.
- L’individu n’est pas directement partie à la procédure devant la DPRC. Il est représenté par un « avocat spécial » désigné par ladite DPRC.
- Le plaignant n’a pas connaissance des raisons pour lesquelles la DPRC juge son recours non fondé. Seule une information sur l’issue du dossier lui est communiquée.
Par ailleurs, le Parlement européen soulignait dans sa résolution « qu’une évaluation complète de la mise en œuvre [de principes en matière de protection des données tels que les principes de nécessité et de proportionnalité] dans l’ordre juridique américain pourrait être impossible en raison d’un manque de transparence dans les procédures de la Cour d’examen de la protection des données (Data Protection Review Court, DPRC). En conséquence, les parlementaires européens concluaient que, en l’état, la DPRC ne respecte pas les normes d’indépendance et d’impartialité énoncées à l’article 47 de la charte des droits fondamentaux de l’Union européenne. Dans ce contexte, la première révision de la mise en œuvre de l’UE-US DPF pourra nous éclairer quant à l’effectivité de ces recours en pratique. La réaction de la Commission européenne face à d’éventuelles insuffisances ou difficultés fera également l’objet d’une attention particulière.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !