Transferts de données de l’UE vers les USA: la saga continue

Élu en 2017 et réélu en 2022, Philippe Latombe est un fin connaisseur du monde du numérique. Il a ainsi rédigé en 2021 le rapport « Bâtir et promouvoir une souveraineté numérique nationale et européenne ». Il est membre de la Cnil.

Son dernier coup d’éclat a été de contester le « Data Privacy Framework » (DPF) – que l’on pourrait traduire par « Cadre pour les données personnelles » – devant le tribunal de l’Union européenne. Ce texte, qui concerne le transfert des données de l’Union européenne vers les États-Unis, a été publié le 10 juillet dernier. Le député a déposé deux recours, l’un pour suspendre immédiatement l’accord et l’autre sur le contenu du texte. Il existe une incertitude sur la recevabilité procédurale de ces plaintes. En effet le député a agi, sur le fondement de l’article 263, alinéa 4 du Traité sur le fonctionnement de l’UE (TFUE) qui permet aux citoyens européens d’attaquer une décision de la Commission européenne en formant un recours en annulation contre « les actes réglementaires qui les concernent directement et qui ne comportent pas de mesures d’exécution ». Il ne semble pas avoir de précédent dans l’application de cet article.

Cette contestation du DPF est la résultante d’un conflit plus ancien sur le transfert des données personnelles entre l’Europe et les États-Unis. Ce sujet est une véritable saga qui pourrait faire l’objet de multiples saisons dans une série, saga qui est sans doute loin d’être terminée.

• Le premier épisode de la série est la directive 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998. Elle prohibe le transfert de données personnelles vers des États non-membres de l’Union européenne sauf s’il y a une protection équivalente à celle exigée en Europe.

• Deuxième épisode : l’adoption du « Safe Harbor ». Il s’agit d’une décision de la Commission européenne de 2000 qui autorisait le transfert de données personnelles de l’Europe vers les États-Unis en considérant que ce pays présente des garanties suffisantes pour la protection de la vie privée.

• Dans le troisième épisode, c’est un jeune étudiant en droit autrichien, Maximilian Schrems (il est né en 1987), qui décide d’attaquer le « Safe Harbor ». Un combat de David contre Goliath ! Et comme dans l’épisode biblique, le plus faible va gagner : le 6 octobre 2015, la Cour de justice de l’Union européenne invalide l’accord Safe Harbor (arrêt de la grande chambre du 6 octobre 2015, Maximilian Schrems c/Data Protection Commissioner, C-362/14). La Cour souligne alors que « la législation permettant aux pouvoirs publics d’accéder de manière généralisée au contenu des communications électroniques doit être considérée comme compromettante pour l’essence même du droit fondamental au respect de la vie privée ».

• Quatrième épisode : la commission européenne et les États-Unis adoptent le 12 juillet 2016, le « Privacy Shield » qui remplace donc le « Safe Harbor » et qui gère à nouveau le transfert des données personnelles.

• Maximilian Schrems ne se décourage pas et, dans le cinquième épisode, il remonte au créneau. Finalement, la Cour de justice de l’Union européenne annule, le 16 juillet 2020, le Privacy Shield. Cette annulation clos la saison 1.

La saison 2, dont on ne connaît pas encore la fin, va concerner le DPF.

• Le premier épisode est un rappel du RGPD. L’article 45 § 3 du Règlement général sur la protection des données accorde à la Commission européenne le pouvoir de décider, qu’un pays tiers assure « un niveau de protection adéquat », autrement dit, un niveau de protection des données à caractère personnel substantiellement équivalent à celui garanti au sein de l’Union européenne (UE). La Commission va donc conclure le DPF.

• Épisode 2 : les États-Unis essaient d’y mettre du leur (du leurre ?). La genèse du DPF vient d’outre-Atlantique. Joe Biden a signé en octobre 2022 l’ordre exécutif 14086 qui limiterait notamment le pouvoir des services de renseignement américains dans l’appréhension des données personnelles, pouvoir qui avait été une des causes de l’annulation des accords précédents. Ce texte va constituer la principale base de négociation avec l’UE.

• Les Européens négocient le DPF dans le troisième épisode. Le DPF crée un système d’auto-certification des entités important des données à l’instar du précédent cadre de protection des données UE-États-Unis (Privacy Shield). Ce système d’auto-certification oblige les entreprises américaines, telle Meta (anciennement Facebook), à adhérer publiquement, chaque année, à ce nouveau cadre transatlantique de protection des données et d’en respecter l’ensemble des principes. Par exemple :
  • l’obligation de supprimer les données personnelles qui ne sont plus nécessaires au regard de la finalité du traitement ;
  • l’obligation de garantir la continuité de la protection des données personnelles lorsque celles-ci sont partagées avec des tiers.

  La liste des organismes certifiés est gérée par le Département du commerce des États-Unis. D’après les promoteurs du DPF, ce nouvel accord limiterait l’accès des renseignements américains aux données de l’UE. Des mécanismes de recours sont également prévus avec la création d’une Cour chargée du contrôle de la protection des données (Data Protection Review Court - DPRC), et de mécanismes indépendants de règlement des litiges et d’un panel spécial d’arbitrage.

• Épisode 4 : le 28 février 2023, le CEPD (c’est la Cnil européenne qui rassemble toutes les « Cnil nationales ») émet un avis plutôt positif sur le projet de DPF.

• Le cinquième épisode se déroule en mai 2023. À une large majorité, les eurodéputés votent contre cet accord en considérant que les avancées par rapport au Privacy Shield sont insuffisantes. Notamment, les Américains pourraient déroger au principe de protection des données personnelles s’il y a une finalité légitime, dont une liste est établie. Par ailleurs, selon les députés européens, le mécanisme de contrôle ou des droits d’accès et de rectification des données seraient insuffisants.

• Épisode 7 : La première plainte du député Philippe Latombe, qui visait à faire suspendre l’accord, a été rejetée. Cet échec ne préjuge en rien de la décision finale sur la validité du DPF. C’est donc cette plainte du député qui, pour des raisons procédurales, aboutira sans doute plus vite que celle de Max Schrems.

Sans « spoiler » (divulgâcher) la fin de la deuxième saison, on devine déjà quelle sera la décision de la CJUE et il faut s’attendre sans doute à plusieurs autres saisons… En effet, la problématique de transfert des données personnelles apparaît comme insoluble. Il est difficile d’imaginer que les services de renseignement américains renonceront à leur privilège et que les Européens accepteront que le RGPD soit en grande partie vidé de sa substance.

Mais les entreprises qui transfèrent des données hors de l’Union européenne, quand bien même il n’y aurait pas d’accord du style DPF, peuvent cependant recourir à des mécanismes contractuels (les BCR, nommées aussi « Règles d’entreprise contraignantes », comme nous l’avions déjà évoqué dans l’article « La valse internationale des données personnelles » (Face au Risque n° 566, octobre 2020).

---

Article extrait du n° 597 de Face au Risque : « Construction bois et sécurité incendie » (novembre 2023).