Un nouvel accord pour le transfert des données vers les États-Unis
Publié le 28/03/2022 par Geoffroy Blondiau
La saga continue ! Alors que Meta avait menacé de couper Facebook et Instagram en raison des contraintes liées à la protection des données, les Etats-Unis et l’UE auraient finalement trouvé un terrain d’entente pour le transfert des données vers les Etats-Unis. Un tel accord mettra enfin un terme aux nombreux mois d’insécurité juridique, mais c’est encore un long chemin semé d’embuches…
Rappel du contexte sur les transferts des données hors UE
La nécessité d’une hypothèse de transfert
Un transfert vers un pays tiers de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert « ne peut avoir lieu » que dans certaines hypothèses listées aux articles 45 et suivants du RGPD:
- Le pays de destination a une législation reconnue par la Commission Européenne comme offrant une protection des données équivalente à celle existant en Europe (décision d’adéquation) ;
- Les organismes expéditeur et destinataire des données ont signé entre eux des clauses contractuelles types, sur la base des modèles de la Commission Européenne ;
- Le transfert a lieu entre des entités d’un groupe ayant adopté des règles internes d’entreprise (Binding corporate rules ou BCR) qui encadrent la sécurité des transferts ;
- Le destinataire des données applique un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l’autorité européenne de protection des données compétente ;
- Une certification, assortie de l’engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant dans le pays hors UE d’appliquer les garanties appropriées ;
- Dans certains cas particuliers prévus par le RGPD (par exemple, la sauvegarde de la vie d’une personne) ;
- Une autorisation préalable de l’autorité dont le responsable relève, en cas de clauses contractuelles propres différentes des clauses types ou en cas de dispositions intégrées dans les arrangements entre autorités et organismes publics.
Le cas spécifique des transferts vers les Etats-Unis
Jusqu’en 2015, la décision d’adéquation Safe Harbor facilitait les échanges vers les Etats-Unis, avant d’être invalidée par la CJUE.
En 2016, le Safe Harbor est remplacé par le Privacy Shield (bouclier de protection des données), permettant à nouveau de transférer des données à caractère personnel vers les Etats-Unis.
En 2020, la CJUE a invalidé le Privacy Shield dans son arrêt Schrems II du 16 juillet 2020 (voyez notre article sur le sujet, disponible au lien suivant). Dans ce même arrêt, la cour considère en revanche que la décision de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est valide. Elle souligne que cette décision instaure une obligation pour l’exportateur des donnés et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection est effectivement respecté dans le pays tiers concerné. Dans le cas contraire, ils sont tenus de mettre en place des mesures de protection supplémentaires. L’arrêt ne précise par contre pas quelles sont les mesures de protection supplémentaires requises.
La jurisprudence s’est ensuite prononcée sur l’adéquation de certaines mesures complémentaires prises pour encadrer les transferts vers les Etats-Unis, sans pour autant fournir de réelle méthodologie à suivre (voyez notamment les arrêts du Conseil d’Etat belge et français).
Ce n’est que fin 2021 que certaines autorités ont publié des lignes directrices en ce sens:
- L’EDPB a adopté des recommandations en six étapes permettant de vérifier que le transfert en question offre effectivement des garanties équivalentes à celles prévues par le RGPD, en fournissant une liste exemplative de mesures supplémentaires permettant de tendre vers un niveau de protection adéquat ;
- La CNIL a développé de manière similaire une méthodologie permettant d’évaluer l’efficacité de l’outil de transfert utilisé par rapport à la législation du pays de destination.
Si l’on peut saluer ces méthodes qui proposent une analyse au cas par cas et fournissent des mesures concrètes à mettre en place, elles complexifient aussi les mécanismes usuels de transferts de données. Ceux-ci sont pourtant indispensables pour la survie des GAFAM mais aussi pour bon nombre d’entreprises qui restaient dans l’incertitude depuis presque deux ans.
Le nouvel accord de principe conclu ce vendredi 25 mars 2022 est ainsi perçu comme un profond soulagement, comme ne manque pas de le préciser Google dans un communiqué de presse: « […] Nous saluons les efforts entrepris par la Commission européenne et le gouvernement américain afin de s’accorder sur un nouveau cadre US – UE et protéger les transferts de données transatlantiques. »
Les principes clés du nouvel accord
Il ne s’agit pour l’heure que d’un accord de principe qui devra être concrétisé pour faire l’objet d’une nouvelle décision d’adéquation, mais relevons à ce stade certains points clés du nouvel accord communiqués par la Commission européenne :
- Des nouvelles règles et garanties contraignantes permettront de limiter l’accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
- Un recours à deux niveaux sera prévu pour recevoir les plaintes des européens concernant l’accès à leurs données par les services de renseignements américains, impliquant un tribunal dédié ;
- Des obligations fortes pour les entreprises traitant des données transférées depuis l’UE, qui incluront toujours l’obligation de certifier leur adhésion auprès du département du Commerce ;
- Des procédures seront mises en place pour garantir une surveillance efficace des nouvelles normes en matière de protection de la vie privée et des libertés individuelles ;
- De nouveaux mécanismes de révision seront mis en place.
Les avantages d’un tel accord
- Selon le nouvel accord, les données pourront circuler librement et en toute sécurité entre l’UE et les entreprises américaines participantes ;
- Les données seront considérées comme transférées et traitées selon une protection adéquate ;
- Les flux de données concernés seront sûrs et sécurisés ;
- Ces transferts reposeront sur une base légale durable et fiable ;
- Ce cadre permettra une coopération économique et une économie numérique compétitive ;
- Cet accord permettra des flux de données équivalant à neuf cent milliards d’euros de commerce transfrontalier chaque année.
Ne pas crier victoire trop vite
Un tel accord devrait être gagnant-gagnant tant pour les USA que pour l’UE. Si l’on peut certainement s’en réjouir, notamment car un tel accord est vecteur d’innovation et de compétitivité pour les entreprises, relativisons tout de même en rappelant qu’il ne s’agit aujourd’hui que d’un accord de principe et que très peu de détails ont à ce jour été communiqués.
Les Etats-Unis doivent à présent concrétiser l’accord et fournir leur executive order qui constituera la base de la décision d’adéquation. La Commission européenne et le comité européen devront à leur tour s’entendre au sein de l’UE et mettre en place le nouveau cadre pour les transferts de données transatlantiques. Cela prendra donc certainement un certain nombre de mois avant d’arrêter un accord définitif.
La présidente de la Commission Européenne Ursula Von der Leyen est heureuse d’avoir enfin pu trouver un accord « équilibré et efficace », qui assure « le juste équilibre entre sécurité, d’une part, et droit à la vie privée et protection des données, d’autre part ». Il est cependant à parier qu’un tel texte sera challengé de tous côtés dés sa publication. Max Schrems de son côté, craint que la politique ne soit à nouveau placée au dessus des droits fondamentaux et dénonce d’ores et déjà l’absence de réforme substantielle du côté américain.
Plus d’infos ?
En lisant la déclaration conjointe de l’UE et des Etats-Unis, disponible en annexe.