Transfert des données UE-USA : encore beaucoup de bruit pour rien
À la suite de l'arrêt Schrems II, un décret signé par le président Joe Biden prévoit de nouvelles garanties pour concilier les activités de surveillance américaines et le droit européen. Mais des zones de flou persistent.
PublicitéLe président américain Joe Biden a signé, ce vendredi 7 octobre 2022, le décret destiné à mettre en oeuvre l'accord de principe signé le 25 mars dernier avec la Commission européenne, en apportant certaines garanties aux activités de surveillance américaine (voir Transferts de données personnelles : USA vs UE, épisode 3). Très attendu par les entreprises, il devait mettre un terme à cette période de grande incertitude consécutive à l'invalidation du Privacy Shield en 2020 par la Cour de justice de l'Union européenne (1) (CJUE) (voir L'affaire Schrems n'en finit pas de faire des vagues). (2)
L'arrêt Schrems II de la CJUE a précisé les deux conditions à remplir pour que le nouvel accord puisse satisfaire le droit européen.
1ère condition : la surveillance américaine doit être « proportionnée » et « nécessaire » au sens de l'article 52 de la Charte des droits fondamentaux.
Dans cet objectif, le décret présidentiel prévoit :
- Le renforcement du contrôle des activités des agences de renseignement, en exigeant notamment qu'elles soient menées de manière proportionnées et nécessaires, en vue de la réalisation d'objectifs de sécurité nationale définis, et qu'elles prennent en considération la vie privée et les libertés civiles de toutes personnes ;
- L'obligation de traiter les données personnelles collectées par les agences de renseignement de manière proportionnée après une évaluation des facteurs pertinents au regard des objectifs poursuivis ;
- La mise en conformité des politiques et procédures des agences de renseignement afin de respecter les nouvelles règles édictées en termes de vie privée et de libertés civiles.
- L'examen par le Privacy and Civil Liberties Oversight Board des politiques et procédures des agences de renseignement américaines, afin de s'assurer qu'elles soient conformes au décret, ainsi que l'examen annuel du mécanisme de recours.
Si le décret mentionne bien les termes « proportionné » et « nécessaire » (Sec. 2 Signals Intelligence Activities), on note cependant que le système de surveillance de masse aux États-Unis demeure possible dans certaines conditions. Il faut admettre qu'il est probable que la surveillance de masse se poursuive et que les données des citoyens européens soient stockées dans des programmes de surveillance tels que Upstream ou PRISM.
Publicité2ème condition : l'accès à un recours indépendant et contraignant doté d'un double niveau juridictionnel, au sens de l'article 47 de la Charte de l'Union européenne, c'est-à-dire garantissant le droit à un recours effectif et à accéder à un tribunal impartial.
Le décret prévoit un mécanisme juridictionnel en deux étapes :
- La première et confiée à un agent sous la direction du Director of National Intelligence qui mènera une première enquête sur les plaintes reçues ;
- La seconde à une Data Protection Review Court (DPRC) qui procédera à un examen indépendant et contraignant des décisions prises par l'agent.
Cependant, on peut constater qu'il ne s'agit pas à proprement parler d'une juridiction. En effet, la DPRC s'apparente davantage à un organe relevant du pouvoir exécutif américain qu'à une véritable Cour. Par ailleurs, le dispositif n'apporte pas de précisions sur la possibilité de faire appel.
Il semble donc que le dispositif envisagé ne réponde pas à toutes les exigences de la Commission européenne. Maximilian Schrems est déjà mobilisé pour critiquer et attaquer la future décision d'adéquation qui pourrait être adoptée à la suite de ce nouveau texte. En effet, dans l'hypothèse où Meta déciderait de transférer des données personnelles vers les États-Unis dans le cadre de cette décision d'adéquation, la Data Protection Commission (DPC) irlandaise doit s'attendre à une nouvelle plainte de l'activiste.
Désormais, il appartient à la Commission européenne de constater, par une décision d'adéquation, que le texte garantit bien un niveau de protection « adéquat ».
C'est dire que le processus est encore en cours et qu'une suite est à prévoir.
Ce n'est donc pas le dernier épisode de la série !
(1) CJUE, 16 juill. 2020, aff. Data Protection Commissioner c/ Facebook Ireland Ltd et Maximilian, Schrems.
(2) Le Privacy Shield ayant lui-même été adopté dans la suite de l'invalidation du Safe Harbor en 2015 par la CJUE (CJUE, 6 oct. 2015, aff., Maximilian Schrems c. Digital Rights Ireland Ltd).
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire