Blog Données personnelles
Nouvelle tentative : la Commission européenne publie un projet de décision d’adéquation pour les flux de données entre l’Union européenne et les Etats-Unis
I. Contexte
Le 13 décembre dernier, la Commission européenne a amorcé le processus d’adoption d’une décision d’adéquation du cadre Union européenne/États-Unis sur la protection des données [1], qui favorisera des flux de données transatlantiques sûrs.
Pour rappel, une décision d’adéquation est un instrument prévu par l’article 45 du RGPD, qui dresse une équivalence théorique entre les niveaux de protection des données à caractère personnel, permettant ainsi de les transférer depuis l’Union européenne vers un autre pays.
Cette décision d’adéquation devrait répondre aux préoccupations soulevées par la Cour de justice de l’Union européenne (CJUE) dans sa décision dite « Schrems II » du 16 juillet 2020 [2] ayant conduit à l’invalidation de la précédente décision d’adéquation, aussi appelée « Privacy Shield ».
C’est à la suite d’un accord de principe [3] entre l’Union européenne et les Etats-Unis datant du mois de mars 2022, puis de la signature d’un décret exécutif américain [4] le 7 octobre 2022 visant à introduire des garanties pour les données personnelles des résidents de l’Union européenne (notamment en limitant l’accès des agences de renseignement américaines et en introduisant un mécanisme de recours indépendant), que cette troisième tentative de projet de décision d’adéquation a vu le jour.
Ainsi, la Commission européenne a évalué le cadre juridique américain et a conclu que celui-ci offre des garanties comparables à celles de l’Union européenne, en ce qu’il assure un niveau de protection adéquat pour les données à caractère personnel transférées de l’Union européenne vers les entreprises américaines.
Le projet de décision a été publié et transmis au comité européen de la protection des données (EDPB) pour avis. La Commission européenne demandera par la suite l’approbation d’un comité composé de représentants des États membres de l’Union européenne. En outre, il convient de rappeler que le Parlement européen dispose d’un droit de regard sur les décisions d’adéquation. Une fois cette procédure terminée, la Commission pourra procéder à l’adoption de la décision finale d’adéquation.
II. Eléments clés du projet de décision d’adéquation
Le projet de décision d’adéquation aborde diverses problématiques et est ainsi divisé en plusieurs parties.
- introduction ;
- cadre de confidentialité des données entre l’Union européenne et les Etats-Unis ;
- accès et utilisation des données personnelles transférées de l’Union européenne par les autorités publiques des Etats-Unis ;
- effets de la décision et action des autorités de protection des données ;
- suivi et révision de la décision ;
- suspension, abrogation ou modification de la décision ;
- considérations finales.
Il ressort en premier lieu des éléments clés de ce projet que les entreprises américaines pourront adhérer au cadre de protection des données envisagé à la condition qu’elles s’engagent à respecter un ensemble d’obligations en matière de confidentialité (p. ex. l’obligation de supprimer les données personnelles lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées). En outre, les résidents de l’Union européenne bénéficieront de plusieurs voies de recours en cas de violation de leurs données à caractère personnel dans le cadre prévu. Ce dernier potin était essentiel pour la CJUE.
En deuxième lieu, des limitations ainsi que des garanties sont prévues dans le projet de décision d’adéquation, notamment en ce qui concerne l’accès aux données par les autorités publiques américaines. Les nouvelles règles introduites par le décret exécutif américain précité sont ainsi incluses et répondent, entre autre, aux questions soulevées par la CJUE dans la décision « Schrems II ». Il est ainsi prévu :
- que l’accès aux données européennes par les agences de renseignement américaines sera limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
- et que les citoyens de l’Union européenne pourront obtenir réparation en raison de la collecte et de l’utilisation de leurs données par les agences de renseignement américaines par un mécanisme de recours indépendant et impartial, qui comprend une nouvelle Cour de révision de la protection des données. Cette Cour devra, par exemple, adopter des mesures correctives contraignantes face aux plaintes qu’elle pourrait recevoir.
Enfin, les entreprises situées dans l’Union européenne pourront s’appuyer sur ces garanties pour les transferts de données transatlantiques, et également lorsqu’elles utiliseront d’autres mécanismes de transfert, tels que des clauses contractuelles types et les règles d’entreprise contraignantes.
III. Réaction de l’organisation Noyb
De son côté, l’organisation Noyb, à l’origine de l’invalidation des deux précédents cadres, a une nouvelle fois réitéré son scepticisme. Bien que certains amendements, comme par exemple l’établissement d’une Cour, semblent prometteurs, Max Schrems lui-même indique que « comme le projet de décision est basé sur le fameux décret exécutif américain, je ne vois pas comment il pourrait survivre à une contestation devant la Cour de justice. Il semble que la Commission européenne ne fait qu’émettre des décisions similaires encore et encore, en violation flagrante de nos droits fondamentaux » [5].
Dans ce contexte, il conviendra de suivre de près les prochaines avancées du projet de décision, dont la version finale n’est pas attendue avant le printemps 2023.
[1] Lien vers le projet de décision d’adéquation : https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en
[2] CJUE, Arrêt de la Cour (grande chambre) du 16 juillet 2020, affaire C-311/18
[3] Trans-Atlantic Data Privacy Framework, March 25, 2022
[4] Lien vers le décret : https://www.federalregister.gov/documents/2022/10/14/2022-22531/enhancing-safeguards-for-united-states-signals-intelligence-activities