Transferts de données personnelles : USA vs UE, épisode 3

Après le Safe Harbor puis le Privacy Shield, un nouvel accord pour encadrer le transfert transatlantique de données personnelles se met en place (ou pas).
PublicitéPlus de mille plaintes ont été déposées par None Of Your Business (NOYB), l'ONG autrichienne dirigée par Maximilian Schrems, à l'encontre d'entreprises européennes pour transfert illégal de données personnelles vers les États-Unis, dans la suite de l'invalidation du Privacy Shield (décision CJUE du 16 juillet 2020, Data Protection Commissionner c/ Facebook Ireland Ltd et Maximillian Schrems).
Depuis l'annulation de cette décision d'adéquation, plusieurs sociétés se sont retrouvées dans le viseur des autorités de contrôle européennes qui opèrent des contrôles de la licéité des transferts hors UE. Leur appréciation se fait au regard des clauses contractuelles types ou des garanties contractuelles, organisationnelles et techniques mises en place ou encore des dérogations pour situations particulières (notamment le consentement explicite des personnes concernées) (voir « Google Analytics dans le viseur des autorités de contrôle européennes », CIO 21 mars 2022).
Un accord politique de principe
Dans ce climat d'incertitude, l'annonce d'un accord sur le transfert des données entre l'Union européenne et les États-Unis redonne espoir aux entreprises. Il marque l'aboutissement de longues négociations - plus d'une année - menées par la secrétaire d'État au commerce américain Gina Raimondo, et le commissaire à la justice Didier Reynders. Et pour cause, les enjeux sont immenses : concilier la protection des droits des citoyens et le commerce transatlantique dans tous les secteurs de l'économie, y compris pour les petites et moyennes entreprises.
Selon la Commission européenne, ce nouveau cadre transatlantique de protection des données (« Trans-Atlantic Data Privacy Framework ») marquerait un « engagement sans précédent de la part des États-Unis à mettre en oeuvre des réformes qui renforceront les protections en matière de vie privée et de libertés civiles ». Au titre des garanties, il est ainsi prévu :
- La limitation de l'accès aux données : les autorités de renseignement américaines ne pourront accéder qu'à ce qui est « nécessaire et proportionné pour protéger la sécurité nationale » ;
- La mise en place d'un mécanisme de recours indépendant et contraignant (la « Data Protection Review Court ») doté d'un double niveau juridictionnel : l'objectif est de pouvoir ordonner des mesures correctives et permettre aux européens de contester les demandes d'accès ;
- Le renforcement du contrôle des activités des agences de renseignement.
PublicitéEncore du chemin pour élaborer un accord juridique !
L'accord politique doit encore se transformer en « décision d'adéquation ». Le chemin s'annonce long et semé d'embûches. En effet, le texte, une fois élaboré, devra être approuvé par le Comité européen des données personnelles (European Data Protection Board qui surpervise les autorités nationales de protection des données personnelles européennes. Côté US, il faudra un décret « présidentiel » (executive order). Et il faudra ensuite une décision d'adéquation de la Cour de Justice de l'Union européenne (CJUE), celle-ci devant valider à son tour le dispositif proposé.
L'exercice s'annonce d'autant plus délicat que les deux précédentes décisions d'adéquation - le Safe Harbor (CJUE, 6 octobre 2015, affaire C-362/14) puis le Privacy Shield (CJUE, 16 juillet 2020, affaire C-311/18) ont été annulées par la CJUE. La Haute juridiction européenne a en effet considéré, à deux reprises, que l'accès aux données des citoyens européens par les autorités et services de renseignement américains ne répondait pas au principe de proportionnalité et était insuffisamment limité !
Aussi, si la Commission européenne voit dans cet accord « une base durable pour les flux de données transatlantiques », l'association NOYB de Maximilian Schrems estime, quant à elle, qu'en l'absence de modification des lois de surveillance américaines, les garanties apportées seront nécessairement insuffisantes. C'est dire que l'affaire Schrems n'a pas fini de faire des vagues ! (voir « L'affaire Schrems n'en finit pas de faire des vagues », CIO 14 février 2022 »). Par ailleurs, certains déplorent que cet accord annihile les efforts pour construire une souveraineté numérique.
Affaire à suivre donc !
Article rédigé par

Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire