Le 10 juillet 2023, la Commission européenne a constaté que les États-Unis assurent – à nouveau ! – un niveau de protection des données personnelles comparable à celui de l’Union européenne (UE).
Or, le Parlement européen « invit[ait] la Commission à poursuivre ses négociations avec les États-Unis et à ne pas adopter de décision d’adéquation tant que toutes les recommandations formulées dans la résolution et l’avis du Comité européen de la protection des données(CEPD) n’auront pas été pleinement mises en œuvre », au terme de sa dernière résolution.
Désormais, les transferts de données à caractère personnel depuis l’UE vers les entités situées aux États-Unis qui figurent sur la liste du Data Privacy Framework sont désormais possibles en s’appuyant sur la décision d’adéquation de la Commission européenne et sans qu’il soit nécessaire, d’un point de vue juridique, de mettre en œuvre des garanties supplémentaires. Pour les transferts à destination d’entités qui ne figurent pas sur la liste précitée, il demeure nécessaire de recourir aux outils de transfert prévus par l’article 46 du Règlement général sur la protection des données (RGPD).
Mathias Avocats vous propose d’analyser cette décision d’adéquation, à travers trois articles, le premier étant consacré à l’analyse de l’adéquation des dispositions prévues par le droit américain. Notre deuxième article porte sur les recours mis en place par le droit américain pour assurer le respect des droits des personnes concernées. Enfin, un troisième article est consacré à la procédure de certification des entreprises américaines souhaitant adhérer au Data Privacy Framework.
Une nouvelle décision d’adéquation attendue
Le 16 juillet 2020, l’arrêt Schrems II de la Cour de justice de l’Union européenne (CJUE) invalidait la précédente décision d’adéquation de la Commission européenne instaurant un cadre transatlantique de flux de données entre l’Union européenne et les États-Unis. En conséquence, pour procéder à un transfert de données à caractère personnel, le responsable de traitement devait, en collaboration avec le destinataire des données, conclure des clauses contractuelles types (CCT), dont l’usage avait été validé par les juges européens.
En décembre 2022, la Commission européenne a entamé son processus d’évaluation et a adopté un projet de décision d’adéquation. Le 28 février 2023, le Comité européen de la protection des données (CEPD) a rendu son avis sur ce même projet de décision. Il relève des améliorations apportées par le gouvernement américain, tout en faisant part de ses préoccupations.
Parallèlement, la Commission européenne et le gouvernement américain ont entrepris des pourparlers en vue d’une éventuelle nouvelle décision d’adéquation qui satisferait aux exigences du RGPD.
Ces discussions ont abouti à la promulgation par le gouvernement américain de deux textes clés : l’Executive Order 14086 (décret 14086) et le règlement relatif à la Cour d’examen de la protection des données (Data Protection Review Courts – DPRC).
Le décret 14086 « Enhancing Safeguards for United States Signals Intelligence Activities » (sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique menées par les États-Unis), adopté le 7 octobre 2022, consacre la mise en place de garanties additionnelles pour les activités de renseignement et un mécanisme de recours indépendant et contraignant.
En prenant en compte ces nouvelles dispositions, la Commission européenne a validé, le 10 juillet dernier, le troisième cadre pour les transferts de données personnelles entre les États-Unis et l’Union européenne : le Data Privacy Framework (DPF). Ce nouveau cadre est fondé sur une analyse de l’ordre juridique du pays quant à la protection des données à caractère personnel et à l’accès des autorités publiques à ces données.
Que contient cette décision d’adéquation ?
- L’adéquation des définitions américaines aux définitions européennes
La Commission relève que les définitions proposées par le droit américain sont similaires à celles prévues par le RGPD.
A titre d’exemple, la notion de « données à caractère personnel » est définie comme toute « donnée relative à une personne identifiée ou identifiable qui entre dans le champ d’application du RGPD et reçue par une organisation aux États-Unis en provenance de l’Union européenne et enregistrée sous quelque forme que ce soit ».
La notion de « traitement » est définie comme « toute opération ou tout ensemble d’opérations effectuées sur des données à caractère personnel, effectuées ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication ou la diffusion, l’effacement ou la destruction ».
Les termes « responsables de traitement » et « sous-traitant » sont également équivalents aux définitions prévues par le RGPD.
De cette manière, les définitions analysées par le Data Privacy Framework sont en concordance avec celles de l’article 4 du RGPD, garantissant ainsi que les entreprises américaines se conforment à un champ d’application similaire à celui en vigueur au sein de l’Union européenne.
- Des dispositions qui imposent un traitement légal et équitable des données à caractère personnel
Les nouvelles dispositions du droit américain imposent au responsable de traitement une collecte légale, équitable et limitée à l’accomplissement d’un but spécifique. De plus, le nouveau cadre de protection impose que les données soient ultérieurement utilisées uniquement lorsque cela est compatible avec la finalité initiale, pour laquelle la personne concernée a été informée.
Ainsi, si les données à caractère personnel doivent être utilisées pour une nouvelle finalité, différente mais toujours compatible avec la finalité initiale, le responsable du traitement doit permettre aux personnes concernées de s’y opposer. Cette possibilité d’opposition doit être communiquée clairement et de manière compréhensible à la personne concernée.
- Minimisation, sécurité et transparence des traitements des données : des principes érigés à la lumière des principes européens
Le droit américain précise que les données collectées doivent être exactes et, si nécessaire, mises à jour. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées. Leur durée de conservation ne doit pas excéder celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.
Les personnes concernées par un traitement de données à caractère personnel doivent être informées des finalités pour lesquelles leurs données sont collectées et traitées.
Ces principes-clés puisent leur origine au sein de l’article 5 du RGPD et permet ainsi aux États-Unis d’offrir une protection similaire à celle assurée dans l’Union européenne.
- Droits des personnes concernées par le traitement de leurs données
Les personnes concernées doivent désormais disposer de certains droits vis-à-vis du traitement de leurs données. Ainsi, ces derniers sont titulaires d’un droit d’accès aux données, du droit de s’opposer au traitement ou encore du droit à l’effacement de leurs données.
L’exercice de ces droits fait référence à ceux dont les résidents européens peuvent se prévaloir face au responsable de traitement ou au sous-traitant (RGPD, articles 15 et suivants).
- La création d’une autorité de contrôle
A l’instar de l’article 51 du RGPD, le Data Privacy Framework met en exergue la récente mise en place d’une autorité de contrôle indépendante, dotée de pouvoirs de surveillance et d’exécution. Cette autorité de contrôle devra être soumise aux juridictions compétentes, à savoir la Commission Fédérale du Commerce (Federal Trade Commission) et le Ministère Américain du Commerce. Celle-ci possèdera les pouvoirs d’investigation et de contrôle, nécessaires pour assurer effectivement la conformité avec les principes du cadre de la protection des données entre l’UE et les États-Unis.
Que retenir ?
In fine, le Data Privacy Framework constate que les nouvelles dispositions américaines offrent un niveau de protection adéquat et permettent aux données transférées depuis l’UE de bénéficier d’un niveau de garanti similaire à celui instauré par le RGPD. C’est notamment la raison pour laquelle la Commission européenne a adopté, sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique menées par les États-Unis, une telle décision d’adéquation. Aussi, l’existence de recours appropriés a été un facteur décisif pour analyser la conformité des dispositions américaines.
Pour autant, le Data Privacy Framework a déjà été l’objet de plusieurs critiques. Selon None Of Your Business (« NOYB ») «le recours devant la CJUE est prêt à être déposé ». L’association de l’avocat autrichien Max Schrems souligne que le nouveau cadre de protection est une copie du Privacy Shield, dont la décision d’adéquation a été invalidée en 2020, ce dernier étant lui-même la copie du Safe Harbor, invalidé en octobre 2015 par la CJUE.
Précisons que la décision d’adéquation sera réexaminée dans un an, afin de vérifier si les mesures ont été pleinement mises en œuvre et se sont révélées efficaces en pratique. À la suite de ce premier réexamen et en fonction des résultats, la Commission décidera, en consultation avec le CEPD et les États membres de l’UE, de la fréquence à laquelle les réexamens futurs de la décision d’adéquation seront effectués. Les examens ultérieurs seront réalisés, au minimum, tous les quatre ans.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !