La Commission européenne ((re)re)valide le transfert de données personnelles vers les États-Unis

Le nouveau « Data Privacy Framework » est censé sécuriser le transfert de données personnelles entre l'Europe et les États-Unis. L'ONG noyb, qui avait fait invalider par la CJUE ses prédécesseurs, « Safe Harbor » et « Privacy Shield », dans ses arrêts « Schrems I » et « Schrems II », anticipe un potentiel « Schrems III ».

La Commission européenne a conclu que les États-Unis garantissaient « un niveau de protection adéquat – comparable à celui de l'Union européenne – pour les données à caractère personnel transférées de l'UE vers des entreprises américaines » au titre du nouveau cadre de protection des données UE - États-Unis intitulé « Data Privacy Framework » (DPF) :

« Sur la base de la nouvelle décision d'adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l'UE vers des entreprises américaines participant au cadre, sans qu'il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données. »

La Commission explique que ce nouveau cadre « introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l'Union européenne, notamment en limitant l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné ». 

• Schrems II : comment les États-Unis veulent encadrer la « collecte en vrac » des données des Européens

Les citoyens de l'UE auront en outre accès à « un mécanisme de recours indépendant et impartial » en ce qui concerne la collecte et l'utilisation de leurs données par les services de renseignement américains. Une Cour d'examen de la protection des données (Data Protection Review Court - DPRC) nouvellement créée « examinera et tranchera les réclamations de manière indépendante, y compris en adoptant des mesures correctives contraignantes ».

Les lobbys des grandes entreprises du numérique se sont immédiatement félicités du nouveau cadre, relève Le Monde. « Son importance ne peut être surestimée », a insisté dans un communiqué l’Information Technology Industry Council (ITI). « C’est une percée majeure », s’est réjouie la Computer and Communications Industry Association (CCIA), en saluant dans un communiqué la fin d’une « incertitude juridique ».

La CNIL prend acte que « les transferts de données personnelles depuis l'UE vers certains organismes états-uniens peuvent désormais s’effectuer librement, sans encadrement spécifique », et publiera des éléments complémentaires sur ce sujet très prochainement. 

La liste des organisations situées aux États-Unis s'engageant à respecter ce nouveau « cadre de protection des données », pour l'instant vide, « sera prochainement rendue publique par le ministère américain du Commerce », précise la CNIL.

Elle rappelle que cette décision fait suite à la précédente décision d’adéquation « Privacy Shield », qui faisait elle-même suite au « Safe Harbor », tous deux invalidées par la Cour de justice de l’Union européenne suite aux plaintes de l'ONG noyb dans ses arrêts « Schrems I » et « Schrems II », les juges ayant estimé que les données personnelles exportées n'étaient pas protégées selon les normes juridiques requises, compte tenu des risques posés par les vastes pouvoirs de surveillance des États-Unis.

Les services américains devront respecter les exigences de la CJUE

Lors d'une conférence de presse, le Commissaire européen à la Justice Didier Reynders s'est montré « beaucoup plus optimiste que d'habitude » à ce sujet, note The Verge, affirmant que le cadre n'est pas un simple copier/coller des mécanismes de transfert antérieurs, qui avaient donc échoué, mais « un système très différent », qui, selon lui, constitue « une solution très solide » à un fossé juridique bien ancré.

Or, souligne The Verge, les critiques rétorquent que, depuis la disparition du Privacy Shield, les États-Unis n'ont toujours pas réformé leurs pouvoirs de surveillance, et notamment la disposition controversée FISA 702 afin d'adopter des mesures protections pour les informations sur les étrangers.

• Ce que peuvent faire les agents de la NSA (ou pas) 1/2
• Ce que peuvent faire les agents de la NSA (ou pas) 2/2

Anticipant les principales lignes d'attaque, M. Reynders a pris le temps d'expliquer pourquoi la Commission pense que cet accord est différent et qu'il tiendra la route : d'une part parce que « nous avons apporté des changements significatifs au cadre juridique américain », d'autre part parce que ce nouveau cadre « est sensiblement différent » du Privacy Shield en raison du décret pris par le président Biden l'année dernière à l'issue de nos négociations, et que « les exigences de nécessité et de proportionnalité sont désormais clairement définies par des garanties contraignantes et applicables dans l'ordre juridique américain » : 

« En pratique, cela signifie que les agences de renseignement américaines, lorsqu'elles décideront si et dans quelle mesure elles doivent accéder à des données, devront mettre en balance les mêmes facteurs que ceux exigés par la jurisprudence de la Cour de justice de l'Union européenne. Ces facteurs comprennent la nature des données, la gravité de la menace ou l'impact probable sur les droits des individus. Sur cette base, chaque agence de renseignement américaine a revu ses règles et procédures internes afin de mettre en œuvre ces nouvelles exigences au niveau opérationnel. »

Concernant le mécanisme de recours remanié, M. Reynders l'a décrit comme « un tribunal indépendant et impartial habilité à examiner les plaintes déposées par les Européens et à prendre des décisions correctives contraignantes », notant également qu'il aura le pouvoir d'ordonner la suppression des données collectées en violation des exigences de nécessité ou de proportionnalité.

Il a en outre souligné que la Commission avait prêté attention à l'accessibilité des voies de recours, suggérant que le mécanisme avait été conçu pour être « convivial » (sic), notant que les citoyens de l'UE n'avaient rien à payer pour déposer une plainte, qu'ils pourront le faire dans leur propre langue par l'intermédiaire de leur autorité locale de protection des données, qui transmettra alors la plainte aux autorités compétentes, tout en se félicitant que « devant le [tribunal], les intérêts du plaignant seront représentés par un avocat spécial, là encore gratuitement et avec les autorisations de sécurité nécessaires » : 

« Ces procédures impliquent un certain degré de secret. Avec un avocat spécial, le tribunal ne prendra sa décision qu'après avoir entendu les deux parties. Enfin, le fonctionnement de ce mécanisme de recours, y compris les aspects liés à la régularité de la procédure et au respect des décisions de la nouvelle juridiction, sera supervisé par un organe indépendant spécifiquement chargé de la protection des données, la commission de contrôle de la protection de la vie privée et des libertés civiles. »

« Il appartiendra aux entreprises de montrer qu'elles sont en totale conformité avec le règlement général sur la protection des données (RGPD) », a rajouté Mr Reynders. The Verge relève à ce titre que cette saga, qualifiée par noyb de « ping-pong juridique », permet également aux partisans des flux de données transatlantiques de « gagner encore quelques années de grâce (et de continuer à faire tourner les roues du commerce) en remettant sans cesse l'ouvrage sur le métier ».

The Verge rappelle par exemple que Meta fait l'objet de plaintes « depuis une quinzaine d'années », et qu'elle a finalement reçu, au début de l'année, l'ordre de suspendre les flux de données après que les régulateurs européens de la protection de la vie privée ont confirmé la violation des exigences de l'Union en matière d'exportation de données. Elle n'a pour autant jamais eu à cesser d'exporter les données des Européens bien qu'elles aient été jugées illégales.

• L'Europe inflige 1,2 milliard d'euros d'amende à Meta

Alors que Meta s'était vu accorder un délai d'environ six mois pour se conformer à l'ordonnance de suspension des données, ce nouveau « Data Privacy Framework » devrait lui permettre de changer la base juridique de ces exportations, et donc de pouvoir ignorer la précédente ordonnance de suspension, à défaut de pouvoir annuler les amendes de 1,2 milliard d'euros qui lui ont été infligées. Le géant de l'adtech devra cela dit, et aussi, « réformer en profondeur la manière dont il gère son activité de publicité comportementale dans l'UE », conclut The Verge.

Le cadre confère aux Européens plusieurs nouveaux droits

La Commission européenne a également publié une FAQ (en anglais) explicitant les conséquences de cette décision d’adéquation, qui « n'exige pas que le système de protection des données du pays tiers soit identique à celui de l'UE, mais repose sur la norme de l'"équivalence essentielle" » : 

« Les autorités européennes de protection des données ont dressé une liste d'éléments à prendre en compte pour cette évaluation, tels que l'existence de principes fondamentaux de protection des données, de droits individuels, d'un contrôle indépendant et de voies de recours efficaces. »

Avec l'adoption de la décision d'adéquation, les entités européennes sont en mesure de transférer des données à caractère personnel aux entreprises participantes aux États-Unis, « sans avoir à mettre en place des garanties supplémentaires en matière de protection des données » : 

« Le cadre confère aux personnes de l'UE dont les données seraient transférées à des entreprises participantes aux États-Unis plusieurs nouveaux droits (par exemple, celui d'accéder à leurs données ou d'obtenir la correction ou la suppression de données incorrectes ou traitées de manière illégale). En outre, il offre différentes voies de recours en cas de traitement incorrect des données, notamment des mécanismes indépendants et gratuits de résolution des litiges et un groupe d'arbitrage. »

Les entreprises américaines qui voudront certifier leur participation devront s'engager à respecter un ensemble détaillé d'obligations en matière de protection de la vie privée, tels que la limitation de la finalité, la minimisation et la conservation des données, ainsi que d'obligations spécifiques concernant la sécurité des données et le partage des données avec des tiers.

Le cadre sera administré par le département américain du Commerce, qui traitera les demandes de certification et vérifiera que les entreprises participantes continuent de satisfaire aux exigences de certification. Le respect par les entreprises américaines des obligations qui leur incombent sera assuré par la Commission fédérale du commerce (FTC).

Un nouveau mécanisme états-unien de recours à deux niveaux

La Commission rappelle que l'Executive Order signé par le président Biden en octobre 2022 pour répondre aux questions soulevées par la Cour de justice dans son arrêt Schrems II prévoit, pour les Européens dont les données à caractère personnel sont transférées aux États-Unis : 

• des garanties contraignantes qui limitent l'accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
• un contrôle renforcé des activités des services de renseignement américains afin de garantir le respect des limites imposées aux activités de surveillance ; et
• la mise en place d'un mécanisme de recours indépendant et impartial, qui comprend une nouvelle Cour d'examen de la protection des données, chargée d'examiner et de résoudre les plaintes concernant l'accès à leurs données par les autorités américaines chargées de la sécurité nationale.

Elle souligne que le gouvernement américain a mis en place un nouveau mécanisme de recours à deux niveaux, doté d'une autorité indépendante et contraignante, et qu' « il n'est pas nécessaire de démontrer que les données ont effectivement été collectées par les services de renseignement américains » pour qu'une plainte soit recevable : 

« Les personnes pourront déposer une plainte auprès de leur autorité nationale de protection des données, qui veillera à ce que la plainte soit correctement transmise et à ce que toute autre information relative à la procédure – y compris le résultat – soit communiquée à la personne concernée. Les personnes peuvent ainsi s'adresser à une autorité proche de leur domicile, dans leur propre langue. Les plaintes seront transmises aux États-Unis par le Conseil européen de la protection des données. »

Les plaintes seront examinées par le « Civil Liberties Protection Officer » de la communauté américaine du renseignement, « chargée de veiller à ce que les agences de renseignement américaines respectent la vie privée et les droits fondamentaux ».

En cas de désaccord, les plaignants auront la possibilité de faire appel de la décision du délégué à la protection des libertés civiles devant la nouvelle Cour d'examen de la protection des données (DPRC), composée de membres extérieurs au gouvernement américain, nommés sur la base de qualifications spécifiques, qui ne peuvent être révoqués que pour un motif valable (tel qu'une condamnation pénale ou le fait d'être jugé mentalement ou physiquement inapte à exercer leurs fonctions) et ne peuvent recevoir d'instructions de la part du gouvernement : 

« Le DPRC a le pouvoir d'enquêter sur les plaintes déposées par des citoyens de l'UE, y compris d'obtenir des informations pertinentes auprès des agences de renseignement, et peut prendre des décisions correctives contraignantes. Par exemple, si le DPRC constate que des données ont été collectées en violation des garanties prévues par le décret, il peut ordonner la suppression de ces données. »

Le plaignant sera alors informé « soit qu'aucune violation du droit américain n'a été identifiée, soit qu'une violation a été constatée et corrigée ». 

La Commission précise qu'elle « suivra en permanence » l'évolution de la situation aux États-Unis et qu'elle « réexaminera régulièrement » la décision d'adéquation dans l'année qui suit son entrée en vigueur, « afin de vérifier si tous les éléments pertinents du cadre juridique américain fonctionnent efficacement dans la pratique », puis, et en fonction des résultats de ce premier examen, et après consultation avec les États membres de l'UE et les autorités chargées de la protection des données, « au moins tous les quatre ans ».

L'ONG noyb anticipe un arrêt « Schrems III » 

L'ONG noyb, de son côté, déplore que ce nouveau cadre transatlantique de protection des données personnelles soit « en grande partie une copie du "Privacy Shield" », qui avait été invalidé dans l'arrêt « Schrems II », suite à l'invalidation du précédent mécanisme de « Safe Harbor » par l'arrêt « Schrems I », et qu'il « sera probablement renvoyé devant la Cour de justice (CJUE) dans quelques mois » : 

« Dans l'ensemble, le nouveau "cadre transatlantique de protection des données" est une copie du Privacy Shield (de 2016), qui était lui-même une copie du "Safe Harbor" (de 2000). Étant donné que cette approche a déjà échoué à deux reprises, il n'y avait pas de base juridique pour ce changement de cap - la seule logique d'un accord était politique. »

• La CJUE invalide le Safe Harbor américain : quelles conséquences ?
• Retour sur l'invalidation du Privacy Shield par la justice européenne

noyb rélève en effet qu' « après plus d'un an et demi de stagnation », les États-Unis « auraient utilisé la guerre en Ukraine pour faire pression sur l'UE » en matière de partage des données à caractère personnel, avant que Joe Biden et Ursula von der Leyen ne se rencontrent en mars 2022 pour présenter un « accord de principe » d'une page contenant « deux "astuces" censées calmer le public ».  

En réponse à la CJUE, qui avait estimé que la « surveillance en vrac » prévue par la FISA 702 n'était pas « proportionnée » au sens de l'article 52 de la Charte des droits fondamentaux de l'Union européenne, l'UE et les États-Unis se seraient ainsi mis d'accord sur une « "interprétation américaine" non divulguée » du terme « proportionnée ».

La seconde « astuce » résiderait dans le nouveau mécanisme de recours à une médiation « renommée et divisée en un officier de protection des libertés civiles (CLPO) et une soi-disant "Cour" (qui n'est pas un tribunal, mais un organe exécutif partiellement indépendant) » : 

« Bien qu'il y ait quelques améliorations mineures par rapport au médiateur, le plaignant n'aura aucune interaction directe avec les nouveaux organes (il devra envoyer une plainte à une autorité de protection des données de l'UE et ne sera pas entendu par les États-Unis) et ceux-ci donneront exactement la même réponse que l'ancien "médiateur". »

noyb souligne que le nouvel Executive Order (EO) 14086 se contentera, quel que soit le cas, de répondre que « sans confirmer ou infirmer que le plaignant a fait l'objet d'activités de renseignement d'origine électromagnétique de la part des États-Unis, l'examen n'a pas identifié de violations couvertes ou la Cour d'examen de la protection des données a rendu une décision exigeant des mesures correctives appropriées ».

L'ONG déplore que les États-Unis aient refusé de réformer la loi FISA 702 « afin d'accorder aux personnes non américaines des protections raisonnables en matière de vie privée », et que « les États-Unis continuent d'insister sur le fait que les personnes non américaines n'ont pas de droits constitutionnels aux États-Unis – par conséquent, une violation de leur droit à la vie privée n'est pas couverte par le 4e amendement ».

Vers un nouvel arrêt de la CJUE « dans un délai d'environ 2 ans »

Pour Max Schrems, « les communiqués de presse d'aujourd'hui sont presque une copie littérale de ceux des 23 dernières années » : 

« Se contenter d'annoncer que quelque chose est "nouveau", "robuste" ou "efficace" ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n'est tout simplement pas le cas. »

Il se déclare d'ores et déjà prêt à déposer un recours auprès de la CJUE, et invite toute personne dont les données personnelles seront transférées dans le cadre du nouvel accord à introduire un recours auprès des autorités de protection des données ou des tribunaux : 

« noyb a préparé diverses options procédurales pour ramener le nouvel accord devant la CJUE. Nous nous attendons à ce que le nouveau système soit mis en œuvre par les premières entreprises dans les prochains mois, ce qui ouvrira la voie à une contestation par une personne dont les données sont transférées dans le cadre du nouvel instrument. Il n'est pas improbable qu'un recours parvienne à la CJUE d'ici la fin de l'année 2023 ou le début de l'année 2024. »

Il estime qu'une décision finale de la CJUE « serait vraisemblablement rendue en 2024 ou 2025 », et que, quelle que soit l'issue de ce recours, ce troisième et nouveau cadre transatlantique de protection des données « sera clarifié dans un délai d'environ deux ans » : 

« Au cours des 23 dernières années, tous les accords entre l'UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises – il semble que nous venons d'ajouter deux années supplémentaires à ce ping-pong. »

« Censée être la "gardienne des traités" et le défenseur de "l'état de droit" », la Commission européenne, qui « adore ce rôle lorsqu'il s'agit d'États membres qui violent le droit communautaire », souligne Max Schrems, « se soucie peu de l'État de droit et de la vie privée des citoyens », accuse en outre noyb : 

« Malgré l'indignation générale suscitée par les révélations de Snowden dans l'UE et les appels répétés du Parlement européen à prendre des mesures, la Commission semble donner la priorité aux relations diplomatiques avec les États-Unis et aux pressions commerciales des deux côtés de l'Atlantique plutôt qu'aux droits des Européens et aux exigences de la législation de l'UE. »

« La saisie de la Cour de Justice semble être une partie du modèle économique de certaines organisations de la société civile », raille Didier Reynders qui, relève l'AFP, a reconnu qu’il s’attendait à de nouvelles batailles judiciaires.