Tribunes

Transferts de données personnelles : USA vs UE, épisode 3

Transferts de données personnelles : USA vs UE, épisode 3
Christiane Féral-Schuhl, avocat associé du cabinet Féral, revient sur les transferts transatlantiques de données.

Après le Safe Harbor puis le Privacy Shield, un nouvel accord pour encadrer le transfert transatlantique de données personnelles se met en place (ou pas).

PublicitéPlus de mille plaintes ont été déposées par None Of Your Business (NOYB), l'ONG autrichienne dirigée par Maximilian Schrems, à l'encontre d'entreprises européennes pour transfert illégal de données personnelles vers les États-Unis, dans la suite de l'invalidation du Privacy Shield (décision CJUE du 16 juillet 2020, Data Protection Commissionner c/ Facebook Ireland Ltd et Maximillian Schrems).

Depuis l'annulation de cette décision d'adéquation, plusieurs sociétés se sont retrouvées dans le viseur des autorités de contrôle européennes qui opèrent des contrôles de la licéité des transferts hors UE. Leur appréciation se fait au regard des clauses contractuelles types ou des garanties contractuelles, organisationnelles et techniques mises en place ou encore des dérogations pour situations particulières (notamment le consentement explicite des personnes concernées) (voir « Google Analytics dans le viseur des autorités de contrôle européennes », CIO 21 mars 2022).

Un accord politique de principe

Dans ce climat d'incertitude, l'annonce d'un accord sur le transfert des données entre l'Union européenne et les États-Unis redonne espoir aux entreprises. Il marque l'aboutissement de longues négociations - plus d'une année - menées par la secrétaire d'État au commerce américain Gina Raimondo, et le commissaire à la justice Didier Reynders. Et pour cause, les enjeux sont immenses : concilier la protection des droits des citoyens et le commerce transatlantique dans tous les secteurs de l'économie, y compris pour les petites et moyennes entreprises.

Selon la Commission européenne, ce nouveau cadre transatlantique de protection des données (« Trans-Atlantic Data Privacy Framework ») marquerait un « engagement sans précédent de la part des États-Unis à mettre en oeuvre des réformes qui renforceront les protections en matière de vie privée et de libertés civiles ». Au titre des garanties, il est ainsi prévu :
- La limitation de l'accès aux données : les autorités de renseignement américaines ne pourront accéder qu'à ce qui est « nécessaire et proportionné pour protéger la sécurité nationale » ;
- La mise en place d'un mécanisme de recours indépendant et contraignant (la « Data Protection Review Court ») doté d'un double niveau juridictionnel : l'objectif est de pouvoir ordonner des mesures correctives et permettre aux européens de contester les demandes d'accès ;
- Le renforcement du contrôle des activités des agences de renseignement.

PublicitéEncore du chemin pour élaborer un accord juridique !

L'accord politique doit encore se transformer en « décision d'adéquation ». Le chemin s'annonce long et semé d'embûches. En effet, le texte, une fois élaboré, devra être approuvé par le Comité européen des données personnelles (European Data Protection Board qui surpervise les autorités nationales de protection des données personnelles européennes. Côté US, il faudra un décret « présidentiel » (executive order). Et il faudra ensuite une décision d'adéquation de la Cour de Justice de l'Union européenne (CJUE), celle-ci devant valider à son tour le dispositif proposé.

L'exercice s'annonce d'autant plus délicat que les deux précédentes décisions d'adéquation - le Safe Harbor (CJUE, 6 octobre 2015, affaire C-362/14) puis le Privacy Shield (CJUE, 16 juillet 2020, affaire C-311/18) ont été annulées par la CJUE. La Haute juridiction européenne a en effet considéré, à deux reprises, que l'accès aux données des citoyens européens par les autorités et services de renseignement américains ne répondait pas au principe de proportionnalité et était insuffisamment limité !

Aussi, si la Commission européenne voit dans cet accord « une base durable pour les flux de données transatlantiques », l'association NOYB de Maximilian Schrems estime, quant à elle, qu'en l'absence de modification des lois de surveillance américaines, les garanties apportées seront nécessairement insuffisantes. C'est dire que l'affaire Schrems n'a pas fini de faire des vagues ! (voir « L'affaire Schrems n'en finit pas de faire des vagues », CIO 14 février 2022 »). Par ailleurs, certains déplorent que cet accord annihile les efforts pour construire une souveraineté numérique.

Affaire à suivre donc !

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis