La problématique de la légalité des flux de données à caractère personnel vers les Etats Unis a connu de nombreux épisodes, et nous n’en sommes certainement pas encore parvenus à la conclusion de cette série à rebondissements qui, si elle ne comporte ni dragons ni châteaux forts, tient néanmoins en haleine les praticiens, et continue surtout d’inquiéter les entreprises.
Cette saga avait commencé avec l’arrêt Schrems I (décision de la CJUE du 6 octobre 2015 invalidant l’adéquation du programme américain Safe Harbor) et s’est poursuivie plus récemment avec l’arrêt Schrems II (décision de la CJUE du 16 juillet 2020 invalidant l’adéquation de son remplaçant le Privacy Shield) sur la conformité des transferts transatlantiques à la législation européenne.
Depuis cette dernière décision, les transferts de données vers les Etats Unis sont potentiellement illicites : tous ceux qui ne reposaient que sur l’adhésion du prestataire au Privacy Shield sont interdits, et les autres, reposant sur des garanties certes prévues par le RGPD telles que les Clauses Contractuelles Types de la Commission Européenne (« CCT ») et les Règles Contraignantes d’Entreprise (« BCR »), sont fragilisés, car le Comité Européen de la Protection des Données (« CEPD ») a indiqué que ces garanties peuvent ne pas suffire si le droit du pays d’importation des données contredit les garanties essentielles européennes.
Plusieurs décisions des CNIL européennes ont enfoncé le clou, notamment au sujet de la technologie Google Analytics dont l’utilisation déclenche des flux transfrontaliers de données d’européens vers les USA (cf. notamment décisions de la CNIL française et de son homologue autrichienne).
Pour assurer un cadre légal a minima des transferts, les entreprises s’efforcent donc de suivre les recommandations du CEPD de 2020 et 2021 sur les respect des garanties essentielles européennes et sur les mesures additionnelles à appliquer.
En substance, le CEPD demande aux entreprises européennes de vérifier si le droit local permet de répondre aux garanties essentielles européennes, et à défaut, d’obtenir de l’entreprise américaine qu’elle déploie des « mesures additionnelles » efficaces.
Or, les entreprises ne sont pas forcément en mesure d’obtenir de telles garanties au regard de leur droit national, et les prestataires étrangers ne sont pas nécessairement désireux de réellement s’y conformer, comme les décisions Google l’ont montré.
Dès lors, la conclusion d’un accord interétatique se révèle être plus que nécessaire afin de rétablir un socle légal fiable pour les flux de données transatlantiques et la confiance dans les fournisseurs.
Les Etats-Unis et l’Union européenne ont entrepris des discussions visant à la reconnaissance d’un nouveau texte américain (le « Data Privacy Framework »), dont une première version a été signée par le Président américain en octobre 2022 sous la forme d’un « executive order » du 7 octobre 2022 permettant un rapprochement entre le droit américain et les exigences du CEPD.
L’executive order impose aux autorités américaines de renseignements un certain nombre d’obligations afin d’assurer le respect de la vie privée et des libertés individuelles.
Entre autres dispositions, les agences de renseignements américaines ne peuvent avoir accès aux données personnelles en provenance de l’UE qu’en justifiant de la proportionnalité de la mesure, des intérêts légitimes des activités et sous réserve que ces activités soient contrôlés par un organisme juridique (l’Officier de Protection des Libertés Civiles puis la Data Protection Review Court en appel).
La Commission européenne doit désormais valider ce nouveau texte en rendant une décision d’adéquation attendue ce mois-ci, en mars 2023.
En attendant la décision de la Commission, le CEPD et l’association NOYB de M. Schrems ont d’ores et déjà rendu leurs avis concernant ce projet de Data Privacy Framework qui, pour des raisons parfois proches, leur semble peu efficace et dont l’adéquation éventuellement décidée par la Commission risque de se heurter à une nouvelle invalidation de la CJUE en cas de litige (inévitable compte tenu de l’activité de NOYB), à l’instar de ses prédécesseurs le Safe Harbor et le Privacy Shield.
Selon NOYB en effet, cette nouvelle réglementation n’empêchera pas les services de renseignements américains de collecter massivement les données européennes.
A ses yeux, les exigences de proportionnalité et de nécessité des collectes restent vaguent et sont sujettes à de larges interprétations, qui sont différentes d’un côté et de l’autre de l’Atlantique. Ce qui affaiblit indéniablement la portée de l’executive order de M. Biden.
NOYB relève également que la Data Protection Review Court ne serait pas une juridiction « réelle » au sens de la Constitution des Etats Unis ; il s’agirait plutôt d’un organe au sein du gouvernement, dont l’indépendance pourrait encore être discutée.
Bien que ce dispositif soit une amélioration par rapport à l’« Ombudsperson » (médiateur) du Privacy Shield, cette nouvelle « cour » ne satisferait pas aux exigences européennes.
NOYB souligne également qu’un executive order est une directive interne du Président au sein du gouvernement fédéral, mais ne constitue pas une véritable loi…
L’association regrette encore que la Commission n’ait pas exigé plus simplement la conformité des entreprises américaines au RGPD.
Il est vrai cependant que la Cour de Justice de l’Union européenne se contente de souligner que les données doivent être protégées de façon « essentially equivalent ».
De son côté, le CEPD, organe de l’Union européenne regroupant les autorités de protection des données au niveau européen (à ne pas confondre avec le Contrôleur européen de la protection des données), s’est positionné à deux reprises sur la question des transferts internationaux.
Dans un premier temps, le CEPD avait adopté le 18 novembre 2021 des lignes directrices sur la notion de transfert.
La définition de transfert donnée internationale par le RGPD manque effectivement de précision : « transfert de données à caractère personnel vers un pays tiers ou une organisation internationale ».
Le CEPD précise qu’un transfert peut être qualifié comme tel lorsque trois critères cumulatifs sont réunis :
1) l’exportateur de données personnelles d’européens (qu’il soit un responsable du traitement ou un sous-traitant) est soumis au RGPD pour le traitement considéré;
2) l’exportateur de données transmet ou met les données à caractère personnel à la disposition de l’importateur de données (une autre responsable du traitement, un responsable conjoint du traitement ou un sous-traitant) : le transfert s’opère entre deux parties distinctes – cependant, un traitement de donnée peut très bien avoir lieu sans qu’il y ait transfert effectif entre deux responsable de traitement.
3) l’importateur de données se trouve dans un pays tiers ou est une organisation internationale.
Ce rappel de la CEPD servait à clarifier l’interaction entre champ d’application territorial du RGPD et les dispositions relatives aux transferts internationaux de son chapitre V.
Selon la présidente du CEPD, ces lignes directrices fournissaient une interprétation cohérente de la notion de “transferts internationaux” et, lorsqu’un importateur de données est soumis au RGPD, les obligations résultant du chapitre V du RGPD s’appliquent tant au transfert de l’UE vers l’importateur qu’à tout transfert ultérieur effectué par l’importateur.
Selon le chapitre V du RGPD, ce transfert transfrontalier n’est possible que s’il répond à certaines exigences : autorisation par une décision d’adéquation de la Commission européenne (art. 45) ou mise en place des garanties appropriées (art. 46 : règles d’entreprises contraignantes (BCR), clauses contractuelles types (CCT), codes de conduite, mécanismes de certification, etc.).
Suite à cette clarification, il convenait d’en identifier les conséquences et de rappeler les droits et obligations qu’un tel transfert doit respecter, notamment en l’espèce de la part des organisations américaines.
Dans le second temps, le CEPD a donc rendu le 28 février 2023 son avis sur le projet de décision d’adéquation de la Commission sur cet executive order, qui lui avait été soumis le 13 décembre 2022.
Le CEPD y reconnait un progrès de la part du gouvernement américain sur la protection des données transférées aux Etats unis, dont l’introduction des notions de nécessité et de proportionnalité s’imposant aux collectes de données et la reconnaissance des droits des citoyens européens sur leurs données.
Néanmoins, certains points suscitent des inquiétudes persistantes.
Le Data Protection Framework prévoit ainsi un certain nombre d’exemptions concernant la protection des personnes concernées.
Le CEPD souhaite que ces exemptions soient mieux encadrées et que la Commission Européenne apporte davantage de précision sur le champ d’application de ces exemptions.
En l’occurrence, en ce qui concerne le droit d’accès de la personne concernée à ses données telles qu’obtenues par les autorités américaines, les détails relatifs à l’obligation de répondre à ses demandes ne sont que décrits dans une note de bas de page, ce qui paraît anecdotique alors que le sujet est au cœur de la protection exigée en Europe ; le CEPD regrette que ces détails ne soient pas inclus dans le corps du texte principal.
Il semble également que le texte ne prévoit l’exercice de ce droit d’accès que lorsque l’organisation « stocke » les données : or, le droit d’accès doit être rendu possible dès lors que les données sont traitées.
On trouve ici l’illustration de ce que des interprétations divergentes des termes peuvent provoquer, avec à la clé une acception plus restrictive du droit d’accès aux USA qu’au sein de l’UE.
Le CEPD note aussi que dans la liste des exemptions au droit d’accès, certaines sont clairement en faveur des intérêts des organisations au dépit des droits et intérêts des individus, selon un équilibre qui n’est pas celui retenu en Europe.
Par exemple, l’exception au droit d’accès visant les informations « accessibles au public » suscite également une certaine inquiétude.
Le CEPD considère que, conformément à la législation européenne, les personnes concernées doivent toujours avoir le droit d’accéder à leurs données, que celles-ci aient été publiées ou non.
Le Data Privacy Framework américain évoque également un droit d’opposition (dit « opt-out ») à la divulgation d’informations personnelles à un tiers ou à l’utilisation de ces données dans un but différent de celui pour lequel elles ont été collectées.
Mais l’exercice de ce droit n’est pas suffisamment détaillé.
Le CEPD regrette ici qu’un droit général d’opposition pour des motifs légitimes impérieux tenant à la situation particulière de la personne concernée ne soit pas expressément prévu dans le Data Privacy Framework.
Et surtout, ce droit d’opposition devrait être garanti à tout moment, et non pas limité à l’utilisation des données à des fins de marketing direct.
Le CEPD remarque également que le droit américain ne prévoie pas d’autorisation préalable par une autorité indépendante, ni un contrôle effectif par une juridiction indépendante pour l’autorisation d’une collecte indifférenciée de données (surveillance de masse), en dépit des précautions ajoutées par l’executive order.
Le CEPD souhaite en conséquence que la Commission précise l’étendue des voies de recours prévue par le Data Privacy Framework américain, et notamment si la personne concernée pourra exercer de manière effective son droit d’accès, de rectification ou d’effacement de ses données tels que prévus par le RGPD.
On peut cependant s’interroger sur ce que vaudront les précisions de la Commission, fondées sur sa propre interprétation du texte américain, si les juges américains décident d’adopter une lecture différente de l’executive order…
Enfin, le CEDP regrette que le Data Privacy Framework ne se prononce pas sur les questions des décisions prises par des algorithmes et du profilage dont on sait que la prolifération donne une acuité particulière aux exigences de protection renforcée des données personnelles.
La question désormais est de savoir quelle position de la Commission Européenne adoptera sur le Data Privacy Framework à la lumière des critiques du CEPD.
Il est à craindre que l’hypocrisie qui caractérise cette saga réglementaire se poursuive.
On en veut pour preuve que les USA estiment d’une part que leur nouvel executive order règle le problème mis à jour par la CJUE dans sa décision du 16 juillet 2020, et dans le même temps, les USA s’indignent d’autre part d’apprendre que le FBI a pu littéralement acheter des données personnelles d’américains (géolocalisation de téléphones) dans le cadre de ses travaux d’investigation, en contournant les exigences réglementaires locales.
Si les agences américaines piétinent leur propre droit pour accéder aux données des citoyens américains, comment l’Europe peut-elle sérieusement considérer que le Data Privacy Framework constituera une garantie suffisante pour protéger les données des citoyens européens ?
L’avis du CEPD sur la décision d’adéquation « Opinion of the Board » du 28 février 2023