Décision d’adéquation pour les USA : le calme avant la tempête ?

La Commission européenne a adopté, le 10 juillet 2023, un nouveau cadre juridique pour le transfert de données de l’UE vers les Etats-Unis. Très attendue par les exportateurs de données, cette décision pourrait cependant annoncer une nouvelle tempête judiciaire.

1. Transferts de données vers les USA

1.1 Le Safe Harbor et le Privacy Shield, et leur invalidation par les arrêts Schrems

Afin de permettre le transfert de données vers les Etats-Unis dans le respect du RGPD, un ensemble de règles, composant un « cadre de protection des données UE – États-Unis » (EU-U.S. Data Privacy Framework ou DPF en anglais), vient tout juste d’être adopté.

En effet, le RGPD interdit le transfert de données à caractère personnel en dehors de l’Union européenne sauf si le destinataire se trouve soit dans un autre État membre de l’UE soit dans un pays qui offre un niveau « adéquat » de protection des données.

Deux accords avaient déjà été précédemment conclus entre l’UE et les USA, à savoir :

– le bouclier de protection des données (Privacy Shield) (2016-2020) et
– la sphère de sécurité (Safe Harbor) (2000-2015),

mais ils ont tous deux été invalidés par la Cour de justice de l’Union européenne (CJUE), dans deux arrêts dits Schrems I et Schrems II, au motif que l’accès très large aux données des Européens dont disposait les services de renseignement américains portait atteinte à leur vie privée. [1]

Depuis l’annulation du Privacy Shield en juillet 2020, les entreprises qui exportent des données vers les États-Unis se trouvaient plongées dans une forte incertitude juridique, qui entrainait des coûts de mise en conformité plus élevés et entravait les relations commerciales entre l’UE et les États-Unis. [2] L’adoption d’un nouveau texte encadrant les transferts de données transatlantiques est donc très attendue.

1.2 Le DPF (Data Privacy Framework)

Les Etats-Unis ne disposant pas, au niveau fédéral, d’une règlementation générale sur la protection des données personnelles, le DPF avait pour mission d’apaiser les inquiétudes de l’UE en la matière. A cet égard, un des éléments clés du DPF est un décret adopté par le président américain Joe Biden en octobre 2022 qui, d’une part, limite l’utilisation des logiciels espions par les services de renseignement fédéraux américains et, d’autre part, créé un mécanisme permettant de traiter les plaintes des Européens concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines chargées de surveiller les activités d’origine électromagnétique. [3]

Les mesures introduites par ce décret visaient à décrocher enfin le précieux sésame : une « décision d’adéquation » de la Commission européenne qui reconnaitrait le niveau de protection adéquat des Etats-Unis et autoriserait le flux de données personnelles transatlantiques à des fins commerciales, conformément à l’article 45, paragraphe 1, du RGPD.

Pourtant, en mai 2023, le Parlement européen a adopté une résolution appelant la Commission à ne pas adopter une telle décision d’adéquation au motif que « le cadre de protection des données UE–États-Unis [DPF] ne crée pas d’équivalence substantielle du niveau de protection ».[4]

Ce texte n’était cependant pas contraignant pour la Commission européenne et c’est ainsi, que, malgré la position défavorable du Parlement européen, la Commission européenne a finalement adopté en juillet 2023 une décision d’adéquation concernant les États-Unis sur la base du DPF.

Cette décision autorise le transfert commercial de données entre les États-Unis et l’UE. Plus largement, le programme DPF, dont fait partie le DPF EU-U.S., comprend également des axes relatifs aux transferts depuis la Suisse, ainsi que l’Angleterre et Gibraltar (sous réserve de l’approbation formelle future des DPF respectifs par ces pays) [5] [6]. Elle encadre l’accès aux données par les agences de renseignement et d’application de la loi, et établit un mécanisme indépendant et impartial pour traiter les plaintes des citoyens européens relatives à la collecte de leurs données à des fins présumées de sécurité nationale [7] . Il convient de noter au passage que le décret fédéral américain sur lequel se fonde le DPF ne s’applique pas aux services répressifs américains au niveau local et étatique, ceux-ci étant régis principalement par le droit étatique et non par le droit fédéral. En revanche, le décret américain s’applique bien aux activités de surveillance fédérales américaines [8].

Avec le DPF, plusieurs choix s’offrent désormais aux entreprises souhaitant procéder à des flux transatlantiques de données personnelles : l’auto-certification au DPF, les clauses contractuelles types et les règles d’entreprise contraignantes.

2. L’auto-certification au DPF

Tout d’abord, les entreprises peuvent avoir recours au mécanisme d’auto-certification.

L’agence pour le commerce international (ITA) du département du commerce américain a mis en ligne un site web dédié au DPF. Ce site informe notamment les entités concernées (organisations établies aux États-Unis et filiales américaines de sociétés étrangères) sur la procédure à suivre pour s’auto-certifier. [9] Il diffuse également la liste des organismes officiellement auto-certifiés dans le cadre du DPF (plus de 2 800 entreprises américaines dès le premier mois).

Les entreprises qui figurent sur cette liste sont réputées assurer une protection « adéquate » des données, de sorte que les transferts depuis l’UE vers ces entités certifiées ne nécessitent pas l’utilisation d’outils d’encadrement de transfert supplémentaires.

Attention, toutefois, comme bien souvent, le diable se cache dans les détails. Les entreprises sont donc invitées à bien réfléchir avant de s’auto-certifier au DPF, afin de s’engager en connaissance de cause. En effet, si une entreprise américaine est libre de choisir de s’auto-certifier au DPF, une fois l’auto-certification obtenue, la conformité au DPF est obligatoire et tout manquement sera sanctionné en vertu du droit américain.

Les principales obligations imposées dans le cadre du système d’auto-certification, présentées en détail sur le site dédié au DPF, sont résumées ci-dessous :

2.1 Informer les personnes concernées du traitement de leurs données

L’entreprise doit publiquement déclarer son engagement à se conformer aux principes du DPF afin que cet engagement devienne exécutoire en vertu de la législation américaine.

L’entreprise doit également obligatoirement informer les personnes de leur droit d’accès aux données personnelles les concernant, et de son obligation de communiquer des données personnelles en réponse à des demandes légitimes émanant d’autorités publiques. Elle est tenue d’indiquer qu’elle sera responsable en cas de transfert non autorisé de données à des tiers.

2.2 Proposer un règlement des litiges gratuit et accessible

L’entreprise s’engage à répondre à toute plainte déposée par une personne concernée dans un délai de 45 jours.

L’entreprise doit fournir, gratuitement, aux personnes concernées un mécanisme de recours indépendant pour la résolution des litiges. Les coordonnées de plusieurs services de médiation/arbitrage compétentes sont proposée sur le site web du DPF.

Si une personne dépose plainte auprès d’une autorité de protection des données en Europe, l’entreprise s’engage à recevoir et à examiner cette plainte, à mettre tout en œuvre pour en faciliter la résolution, et à répondre à l’autorité dans un délai de 90 jours.

En cas d’échec de résolution du différend, l’entreprise s’engage à mettre en œuvre une procédure d’arbitrage contraignante à la demande de la personne concernée.

2.3 Garantir l’intégrité des données et respecter le principe de limitation des finalités

L’entreprise veille à ce que les données personnelles soient limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Elle s’engage, par ailleurs, à respecter les durées fixées pour la conservation des données.

2.4 Assumer la responsabilité en cas de transfert des données à des tiers

Avant de transférer des données personnelles à un tiers agissant en qualité de responsable du traitement ou de sous-traitant :

-l’entreprise s’engage à respecter les principes de notification et de choix prévus par le DPF ; et
-le tiers responsable du traitement ou sous-traitant accepte, par contrat, que ces données ne soient traitées qu’à des fins limitées et spécifiques, compatibles avec celles pour lesquelles la personne concernée a donné son consentement, s’engage à assurer la protection requise par les principes du DPF et à informer l’entreprise s’il constate qu’il n’est plus en mesure de respecter cet engagement. Dans ce dernier cas, le tiers responsable du traitement ou sous-traitant doit mettre fin au traitement ou prendre toutes autres mesures appropriées pour remédier à la situation.

2.5 Garantir la transparence des actions prises

Si l’entreprise fait l’objet d’un contrôle par la Commission fédérale du commerce (FTC) américaine ou d’un tribunal pour cause de non-conformité, elle s’engage à rendre publiques toutes les sections pertinentes relatifs au DPF contenues dans les rapports de conformité ou d’évaluation établis dans ce cadre.

2.6 Veiller au respect des engagements aussi longtemps que les données sont conservées

Si une entreprise décider de quitter le DPF, elle reste toutefois tenue de déclarer, chaque année, son engagement à appliquer les principes du DPF aux données reçues dans le cadre du DPF si elle choisit de conserver ces données. A défaut, elle doit assurer une protection « adéquate » à l’égard de ces données par tout autre moyen autorisé.

3. L’alternative à l’auto-certification : CCT et BCR

Une entreprise qui ne remplit pas les conditions requises pour bénéficier du DPF, ou qui choisit de ne pas y adhérer, peut utiliser deux autres instruments de transferts pour les flux de données EU-USA : les clauses contractuelles types et les règles d’entreprise contraignantes.

3.1 Les clauses contractuelles types (CCT)

Les clauses contractuelles types (CCT) sont des modèles de clauses de protection des données préapprouvées par la Commission européenne, que les parties peuvent incorporer à leur contrat en vue d’assurer le respect des obligations qui leur incombent au titre du RGPD. [10]

L’arrêt Schrems II [11], qui a invalidé le Privacy Shield et remis en cause les transferts de données effectués sur la base des CCT, a fortement limité le recours à cet instrument contractuel pour le transfert de données à caractère personnel de l’UE outre-Atlantique.

Afin de renforcer les CCT à la lumière de la jurisprudence de la CJUE, la Commission européenne a adopté en juin 2021 de nouvelles CCT [12] pour le transfert de données à caractère personnel vers des pays situés en dehors de l’Espace économique européen (EEE) [13]. Ces nouvelles CCT contiennent des garanties spécifiques en matière de protection des données afin de s’assurer que les données personnelles bénéficient d’un « niveau élevé de protection » lorsqu’elles sont transférées en dehors de l’EEE. Ces CCT peuvent être utilisées par les exportateurs de données, sans qu’il soit nécessaire d’obtenir une autorisation préalable d’une autorité de protection des données. En utilisant des CCT, les importateurs de données s’engagent contractuellement à respecter un ensemble de garanties en matière de protection des données.

3.2 Les règles d’entreprise contraignantes (BCR)

Outre les CCT, une entreprise souhaitant transférer des données vers les USA sans recourir au système du DPF peut choisir d’encadrer ses transferts par des règles d’entreprise contraignantes (communément appelées Binding Corporate Rules ou BCR).

Les BCR sont principalement utilisées par les entreprises de type multinationale qui effectuent fréquemment des transferts transfrontaliers intra-groupe. La mise en place de BCR comprend plusieurs étapes : les BCR sont élaborées par l’entreprise, puis examinées et approuvées par l’autorité locale de protection des données, conformément à l’article 63 du RGPD. Enfin, le Comité européen de la protection des données (CEPD) émet un avis, avant leur approbation finale par l’autorité de protection des données. [14]

4. Conclusion

Étant donné que les États-Unis ne disposent toujours pas d’un ensemble complet de lois fédérales visant à protéger les données à caractère personnel, si le DPF est contesté à l’instar de ses prédécesseurs et passe sous les fourches caudines de la CJUE, le sort qui lui sera réservé reste incertain. Cela étant, pour l’instant, les entreprises qui tentent de respecter des réglementations internationales en constante évolution et souvent contradictoires, voient l’horizon se dégager. Toutefois ce répit peut être fragile. Il est à craindre, en effet, qu’elles ne se trouvent dans l’œil du cyclone et ne bénéficient que d’un calme temporaire avant d’essuyer une nouvelle tempête transatlantique sur la réglementation des données.

Janice Mulligan
Mulligan Law
Membre Lexing pour les Etats-Unis (Ouest)

Notes

[1] CJUE 6-10-2015 Aff. C-362/14 Maximillian Schrems c/ Data Protection Commissioner (« Schrems II »)et CJUE 16-7-2020 Aff. C-311/18 Data Protection Commissioner c/ Facebook Ireland Ltd, Maximillian Schrems (“Schrems II »).

[2] Andrea Vittorio, Legal Questions Loom Over Latest Trans-Atlantic Data Flows Deal : news.bloomberglaw.com 11-10-2022.

[3] Communiqué Maison Blanche du 7-10-2022.

[4] Textes adoptés – Adéquation de la protection assurée par le cadre de protection des données UE–États-Unis, Parlement Européen 11-5-2023.

[5] Des accords distincts ont été conclus pour l’UE (EU-US DPF), le Royaume-Uni (UK Extension to the EU-U.S. DPF), et la Suisse (Swiss-US DPF).

[6] Tous les États membres de l’UE sont liés par la décision d’adéquation de la Commission européenne pour le DPF UE-US. Le Royaume-Uni et Gibraltar seront liés par une extension britannique du DPF UE-US. Enfin, la Suisse sera liée par la reconnaissance d’adéquation de l’administration fédérale suisse pour le DPF Suisse-US, une fois que ces mesures gouvernementales entreront en vigueur.

[7] Décision d’exécution de la Commission européenne constatant le niveau de protection adéquat des données personnelles assurée par les États-Unis, 10-7-2023.

[8] Il convient de noter que la loi « Clarifying Lawful Overseas Use of Data Act » (CLOUD Act) concerne les transferts de données à des fins répressives et n’entre pas dans le champ d’application du DPF.

[9] Data Privacy Framework Program, US Department of Commerce International Trade Administration (ITA)

[10] Cf. note de bas de page n°1.

[11] Commission européenne, page « New Standard contractual Clauses- Questions and Answers Overview ».

[12] Commission européenne, page « Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers ».

[13] L’Espace économique européen (EEE) comprend les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège.

[14] Commission européenne, page « Binding Corporate Rules (BCR): Corporate rules for data Transfer Within multinational companies ».

Cookie	Durée	Description
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.
PHPSESSID	session	Stockage temporaire des informations de la session.
pll_language	12 mois	Stockage de la langue choisie par l’utilisateur.
viewed_cookie_policy	12 mois	Enregistrement de l’ouverture de la politique cookies.
wordpress_logged_in_	session	[Identification de l'utilisateur connecté uniquement] Cookie pour les utilisateurs connectés.
wordpress_sec_	session	Stocke la session sécurisée du site [Utilisateurs connectés uniquement] Cookie pour les utilisateurs connectés.
wordpress_test_cookie	session	Teste le support des cookies du navigateur.