Le jeudi 11 mai 2023, le Parlement européen a invité la Commission européenne à poursuivre ses négociations avec les États-Unis pour encadrer le transfert des données personnelles outre-Atlantique.
Cette position également partagée par l’association None of your businness (NOYB) – qui a d’ores et déjà annoncé qu’elle contestera le texte en l’état – laisse deviner que l’instabilité juridique risque de perdurer au détriment des entreprises.
De nouvelles garanties apportées par les États-Unis
Depuis 2015 deux décisions d’adéquations, respectivement « Safe Harbor » et « Privacy Shield », ont été invalidées par la Cour de justice de l’Union européen (CJUE) au motif que les États-Unis ne garantissaient pas une protection suffisante des données personnelles des citoyens européens.
Dans ce contexte, le 7 octobre 2022 le président Joe Biden a signé le décret 14086 pour garantir des mesures protectrices et assurer un niveau de protection satisfaisant qui comprend, notamment :
- L’introduction des principes de nécessité et de proportionnalité pour la collecte de données de renseignement
- Un nouveau mécanisme de recours pour les personnes concernées de l’UE devant la Data Protection Review Court (DPRC) aux États-Unis
Le 13 décembre 2022, la Commission européenne a introduit son projet de décision d’adéquation dans lequel elle a estimé que les garanties du cadre juridique américain étaient suffisantes.
À noter que seule la Commission peut garantir qu’un pays tiers à l’Union européenne et à l’Espace économique européen assure un niveau de protection des données personnelles « substantiellement équivalent » à celui du droit de l’UE. Pour cela, une étude préalable de la législation interne du pays, de ses autorités de contrôle et de ses engagements internationaux, est nécessaire.
Des garanties contestées
Le Comité européen de la protection des données (CEPD) s’est prononcé le 28 février 2023 sur le projet. Il relève des améliorations par rapport aux anciens régimes.
Toutefois, des préoccupations persistent concernant :
- Le droit des personnes
- Les transferts ultérieurs (les données acquises dans le cadre des activités de renseignement pourraient être diffusées aux autorités de lutte contre la criminalité)
- La collecte temporaire massive de données
- Le fonctionnement du mécanisme de recours devant la DPRC
Le Parlement européen, qui a adopté la résolution non contraignante de la Commission LIBE le 11 mai 2023, a quant à lui demandé que les négociations soient poursuivies entre la Commission européenne et les États-Unis afin de créer un mécanisme qui assure une équivalence réelle et une protection adéquate.
En effet, les parlementaires déplorent notamment :
- Le pouvoir discrétionnaire du président américain qui peut modifier les objectifs légitimes pour permettre une collecte de données sans l’obligation de rendre publique les mises à jour ni d’informer l’UE
- La classification des décisions de la DPRC qui viole les droits d’accès et rectification des ressortissants européens
- Le manque d’indépendance des juges de la DPRC en charge de statuer sur les recours des citoyens européens car le président américain peut révoquer et/ou annuler leurs décisions
Les positions de la CEPD et du Parlement ne sont pas contraignantes, la Commission européenne est libre d’adopter le texte en l’état.
En revanche, cette décision risque d’être invalidée par la CJUE au regard des nombreux manquements à protéger les droits des citoyens de l’UE.
Solutions envisageables
Dans l’attente d’une décision d’adéquation les entreprises doivent mettre en place des clauses contractuelles types (ci-après CTT) qui sont des modèles de contrat de transfert de données personnelles adoptés par la Commission européenne. En pratique, les sociétés doivent se référer aux nouvelles clauses du 4 juin 2021 (depuis le 27 décembre 2022 les anciennes clauses ne peuvent plus être utilisées) et les appliquer à leur situation juridique.
Les CCT (accessible ici) peuvent donc être utilisées pour transférer des données vers un pays tiers, États-Unis compris en théorie.
Toutefois, en pratique la CJUE impose à l’importateur ou exportateur des données d’évaluer si la législation du pays tiers permet le niveau de protection requis par le droit de l’UE.
En l’absence de cadre légal satisfaisant, les entreprises ont l’obligation de (i) prévoir des mesures supplémentaires et (ii) s’assurer que la législation du pays n’empiétera pas sur ces mesures. Cela revient pour les entreprises à faire des développements et mettre en place des solutions coûteuses, comme des clés de chiffrement.
Le RGPD offre également d’autres moyens de transférer les données hors de l’UE (BCR, code de conduite ou encore un système de dérogation). Toutefois, ces dispositifs ne sont pas adaptés aux petites et moyennes entreprises d’un point de vue opérationnel.
Face à ces enjeux complexes, LOB peut vous accompagner.