Comment respecter le RGPD lorsque l'on transfère des données personnelles vers les Etats-Unis ?
-Article rédigé le 31/07/2023
Par principe, un transfert de données personnelles en dehors de l’U.E. est interdit. Par exception, il est possible de transférer des données personnelles en dehors de l’U.E. lorsque le transfert est fondé sur une décision d’adéquation (art. 45 du RGPD) ou encore sur des garanties appropriées, telles que des règles d’entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, etc. (art. 46 et suiv. du RGPD)
Dans le cadre d’une décision d’adéquation adoptée le 10 juillet 2023, la Commission européenne a constaté que les États-Unis d’Amérique assurent un niveau de protection substantiellement équivalent à celui de l’U.E. dans le cadre du « Data Privacy Framework ».
En 2022, les États-Unis ont adopté le « Data Privacy Framework » instaurant notamment un mécanisme d’auto-certification des entités américaines.
Concrètement, lorsque l’entité américaine est inscrite sur la liste des organismes certifiés, qui sera rendue publique prochainement par le Ministère américain du Commerce (« Federal Trade Commission »), cela signifie qu’elle s’engage annuellement et publiquement à adhérer à un cadre légal de protection des données personnelles équivalent à celui du RGPD et à en respecter l’ensemble des principes et des garanties. En contrepartie, les transferts de données personnelles de l’U.E. vers ces entités américaines certifiées sont libres, à l’instar d’un transfert intra-communautaire.
Résumé :
Depuis le 10 juillet 2023, tous les transferts de données personnelles à destination d’entités américaines qui ont adhéré au « Data Privacy Framework » sont libres !
Depuis le 10 juillet 2023, tous les transferts de données personnelles à destination d’entités américaines qui ont adhéré au « Data Privacy Framework » sont libres !
- Rappel des règles qui encadre le transfert de données personnelles en dehors de l’U.E.
Par principe, un transfert de données personnelles en dehors de l’U.E. est interdit. Par exception, il est possible de transférer des données personnelles en dehors de l’U.E. lorsque le transfert est fondé sur une décision d’adéquation (art. 45 du RGPD) ou encore sur des garanties appropriées, telles que des règles d’entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, etc. (art. 46 et suiv. du RGPD)
- Le « Data Privacy Framework »
Dans le cadre d’une décision d’adéquation adoptée le 10 juillet 2023, la Commission européenne a constaté que les États-Unis d’Amérique assurent un niveau de protection substantiellement équivalent à celui de l’U.E. dans le cadre du « Data Privacy Framework ».
En 2022, les États-Unis ont adopté le « Data Privacy Framework » instaurant notamment un mécanisme d’auto-certification des entités américaines.
Concrètement, lorsque l’entité américaine est inscrite sur la liste des organismes certifiés, qui sera rendue publique prochainement par le Ministère américain du Commerce (« Federal Trade Commission »), cela signifie qu’elle s’engage annuellement et publiquement à adhérer à un cadre légal de protection des données personnelles équivalent à celui du RGPD et à en respecter l’ensemble des principes et des garanties. En contrepartie, les transferts de données personnelles de l’U.E. vers ces entités américaines certifiées sont libres, à l’instar d’un transfert intra-communautaire.
À noter, parmi les nouvelles règles et garanties contraignantes du « Data Privacy Framework » que :
- l’exercice des droits des personnes concernées est renforcé : les politiques de confidentialité des entreprises certifiées devront mentionner un point de contact chargé des traitements des demandes, ainsi qu’indiquer un organe indépendant de résolution (« independent dispute resolution body ») gratuit pour les utilisateurs et qui pourra prononcer les sanctions à l’égard des entreprises ne respectant pas les principes fondamentaux ;
- le traitement des données personnelles des européens par les services de renseignement américains est encadré : ainsi, l’accès des autorités étatsuniennes aux données est limité par les principes de nécessité et de proportionnalité. Par ailleurs, il est introduit un nouveau mécanisme de recours à deux niveaux pour examiner et résoudre les plaintes des Européens sur l'accès aux données par les autorités de renseignement américaines
Cette dérogation liée à la décision d’adéquation fondée sur le « Data Privacy Framework » ne s’appliquera pas lorsque les entités américaines ne sont pas inscrites sur la liste tenue annuellement par le Ministère américain du Commerce. Ces entités devront alors prendre des garanties appropriées conformément aux articles 46 et suiv. du RGPD.
- les risques que le « Data Privacy Framework » soit annulé par la CJUE
À deux reprises déjà, les États-Unis ont bénéficié de décisions d’adéquation adoptées par la Commission européenne, qui ont été ensuite annulées par la CJUE.
Ainsi, la Commission européenne a adopté le 26 juillet 2000 une décision d’adéquation fondée sur le « Safe Harbor » qui a été annulée en 2015 par la Cour de Justice de l’Union Européenne (« CJUE »).
Dans cette affaire dite « Schrems I », la CJUE a constaté que :
- les principes édictés par le « Safe Harbor » ne s’imposaient pas aux autorités publiques américaines ou encore pouvaient être écartés si des exigences relatives « à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis » devaient être prises en considération ;
- les autorités publiques pouvaient accéder, de manière généralisée et sans limite, au contenu des communications électroniques des personnes situées en Europe, conduisant ainsi à un accès massif et indifférencié à des données personnelles ;
- il n’existait pas de voix de recours - administrative ou judiciaire - pour les personnes concernées.
En 2016, la Commission européenne a adopté une deuxième décision d’adéquation fondée cette fois sur le « Privacy Shield » pour encadrer les transferts de données entre l'U.E. et les États-Unis. Mais en 2020, la CJUE annule cette nouvelle décision.
Dans cette affaire dite « Schrems II», la CJUE a constaté notamment que :
- deux textes de la loi américaine, la section 702 du Foreign Intelligence Surveillance Act (FISA) et l’Executive Order 12333, autorisaient l’accès des autorités publiques américaines, de façon particulièrement large et sans ciblage, à des données personnelles transférées de l’Union Européenne vers les États-Unis ;
- la législation américaine ne permettait pas aux personnes concernées de bénéficier de droits de recours devant les autorités américaines.
C’est dans ce contexte qu’en 2023, la Commission Européenne a adopté une troisième décision d’adéquation fondée sur le « Data Privacy Framework ».
Si la CNIL n’a pas émis de réserve sur le « Data Privacy Framework », le Comité Européen de la Protection des Données (CEPD/EDPB) a accompagné son avis, certes positif, de beaucoup de réserves et le Parlement européen s’y est opposé.
En outre, Max Schrems - à l’origine des précédents recours ayant donné lieu aux décisions d’annulation des précédentes décisions d’adéquation - a déjà déclaré qu’il intenterait un recours par l’intermédiaire de son association NOYB[1], contre la décision d’adéquation de la Commission européenne fondée sur le « Data Privacy Framework ».
Les principales critiques relatives au « Data Privacy Framework » portent sur le fait que :
- les autorités en charge des recours par les citoyens européens sont rattachées non pas au pouvoir judiciaire mais au pouvoir exécutif ;
- l’éventuelle décision de rejet d’une plainte formulée par une personne concernée n’a pas à être motivée !
Compte tenu de ce qui précède, si le transfert de données personnelles de l’U.E. à destination d’entreprises ayant adhéré au « Data Privacy Framework » est aujourd’hui libre, les responsables de traitement doivent garder à l’esprit qu’il existe des risques que cette troisième décision d’adéquation soit à nouveau annulée !
Mais les recours annoncés aboutiront dans un délai de deux à quatre ans. Dans ce laps de temps,
les responsables de traitement :
- ne seront plus dans l’illégalité en travaillant avec des entreprises américaines auto-certifiées ;
- pourront poursuivre leur quête de solutions européennes alternatives aux solutions américaines …
Sources
- « Adéquation des États-Unis : les premières questions-réponses », 13 juillet 2023, CNIL https://www.cnil.fr/fr/adequation-des-etats-unis-les-premieres-questions-reponses
- Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation, 10 juillet 2023, CNIL, https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
- « Transfert de données : l’UE valide l’accordtransatlantique contesté - Le Data Privacy Framework autorise l’utilisation des données des Européens par les Gafam malgré les risques sur la confidentialité », Alexandre Piquard, 12 / 07/ 2023, Ed. Le Monde,
- « Transferts de données : une symphonie en deux temps du CEPD : Le premier temps : l'adoption le 24 février 2023 des lignes directrices du CEPD sur la notion de transfert, Le second temps : l'Avis du CEPD sur la décision d'adéquation proposée pour remplacer le Privacy shield du 28 février 2028 », Nathalie Martial-Braz, Professeur Université Paris-Cité, Sorbonne Abu Dhabi, CEDAG et le Cabinet Twelve Avocats Panorama rapide de l'actualité « Technologies de l'information » de la semaine du 6 mars 2023 Dalloz actualité 13 mars 2023, Ed. Dalloz
- « Flux transatlantique de données : Des progrès mais … », Interview de Brasley Joslove par Sylvie Rozenfeld, Revue Expertises, Fév. 2023
- « Transfert des données européennes vers les Etats-Unis : Nouvel Essai », Alexandra Iteanu, Revue Expertises, Nov. 2022.
[1] Association NOYB : Association autrichienne None of your business (Noyb), spécialisée dans la protection des droits numériques présidée par M. Max Schrems
Commentaires
Rédigez votre commentaire :
Les réactions des internautes
<% comment.content %>
<% subcomment.content %>