Joe Biden a signé le 7 octobre 2022 un « Executive Order » créant le « EU-US Data Privacy Framework » destiné à encadrer, à nouveau, les transferts de données personnelles depuis l’Espace Economique Européen vers les Etats-Unis1. Ce nouveau décret était particulièrement attendu depuis l’invalidation en 2020 de son prédécesseur, le « Privacy Shield », par la Cour de justice de l’Union Européenne dans l’arrêt Schrems II2. L’adoption d’une éventuelle décision d’adéquation pouvant prendre plusieurs mois, les entreprises doivent d’ici là continuer à utiliser les clauses contractuelles types de la Commission européenne du 4 juin 2021 qui constituent toujours pour l’heure le mécanisme le plus adapté pour transférer des données vers les Etats-Unis.
LE CONTEXTE
La CJUE, dans l’arrêt Schrems II, avait estimé que le « Privacy Shield » n’apportait pas les garanties suffisantes. En particulier, la loi américaine autorisait, notamment à ses agences de renseignement, la collecte « en vrac » d’un volume important d’informations ou de données directement depuis les câbles sous-marins posés sous l’Atlantique, sans respecter le principe de nécessité et de proportionnalité du droit de l’Union et sans aucun contrôle juridictionnel effectif.
NOUVEAUX APPORTS
Par conséquent, le décret introduit de nouvelles garanties contraignantes, pour répondre aux points soulevés par la CJUE, en limitant l'accès des services de renseignement américains aux données provenant de l’EEE et en créant une Cour de révision de la protection des données.
Le décret exige ainsi que les agences de renseignement américaines limitent leurs activités de renseignement à ce qui est nécessaire et proportionné.
Cette limitation, qui cherche à concilier les impératifs des activités de renseignement et leur impact sur les droits et libertés des personnes, porte à la fois :
■ sur les modalités exercées (la collecte « en vrac », visée par l’arrêt de la CJUE n’est ainsi autorisée que « s’il n’est pas possible d’obtenir le renseignement de manière ciblée ») ;
■ et sur les objectifs poursuivis qui sont limitativement prévus par le décret ;
■ étant précisé que des objectifs sont expressément prohibés : Il s’agit par exemple de la limitation de la liberté d’expression, de la dissidence ou de la critique, des limitations relatives à la vie privée, ou de la discrimination des personnes en raison de leur sexe, de leur race, de leur orientation sexuelle, etc.
Le décret exige ainsi des agences de renseignement américaines de revoir leurs politiques et procédures afin de respecter les nouvelles mesures de protection et notamment :
■ la nécessité d’une surveillance périodique des activités de renseignement numériques par, un responsable de la protection de la vie privée et des libertés civiles, un responsable conformité et un inspecteur général qui devront pouvoir avoir accès à tout document pertinent et agir en toute indépendance ;
■ ou le besoin de former leur personnel afin de respecter et pouvoir identifier et rectifier des non-conformités.
PROCHAINES ÉTAPES
La Commission européenne doit désormais évaluer le niveau d’adéquation du décret « EU-US Data Privacy Framework ».
Si Max Schrems considère « que les questions essentielles n'ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE »3, la Commission s’est quant à elle rapidement exprimée pour indiquer que le « EU-US Data Privacy Framework » répond aux problèmes précédemment soulevés par la CJUE (mais elle en avait fait autant pour le « Privacy Shield » et auparavant pour le « Safe Harbor »…)
Ainsi, si elle adopte une décision d’adéquation, les entreprises pourront s’en prévaloir, sans autre garantie appropriée, pour envoyer de nouveau des données personnelles depuis l’EEE vers les Etats-Unis, mais peut -être jusqu’à une prochaine décision de la CJUE…
DANS L'ATTENTE
L’adoption d’une décision d’adéquation pouvant prendre plusieurs mois, les entreprises doivent toujours conclure les clauses contractuelles types de la Commission européenne dans leur nouvelle version du 4 juin 2021, mises à jour des exigences fixées par la CJUE dans l'arrêt Schrems II, et qui constituent encore aujourd’hui le principal mécanisme de transfert des données vers les Etats-Unis.
Pour rappel, les anciennes clauses contractuelles types seront abrogées le 27 décembre 2022. Ceux qui effectuent encore des transferts de données en dehors de l’EEE (et pas seulement vers les Etats-Unis), sur cette base, doivent donc d’ici là prévoir des avenants à leurs contrats afin de tenir compte des nouvelles clauses contractuelles types.
Navid Renard
KPMG Avocats