Le RGPD – Règlement général sur la protection des données (UE) 2016/679 – impose, pour tout transfert de données personnelles en dehors de l’Union Européenne, l’utilisation de différents outils juridiques, afin de garantir la sécurité de données des ressortissants de l’Union européenne, l’effectivité de leurs droits et des voies de recours (articles 44 à 50).
Les Etats-Unis étant un pays avec lequel l’Union Européenne échange énormément de données compte tenu de la globalisation des échanges commerciaux, de la place prépondérante des GAFAM ainsi que de l’hébergement de nombreux serveurs aux Etats-Unis, le transfert de données vers ce territoire a rapidement été encadré.
Mais les accords transatlantiques ont été invalidés à plusieurs reprises depuis 2005 par la Cour de Justice de l’Union Européenne, considérant que les Etats-Unis n’offraient pas un cadre de protection adéquat pour les données des ressortissants européens.
Alors où en est-on aujourd’hui ?
Rappel du contexte
La Commission européenne avait adopté dès les années 1998/2000 une décision d’adéquation, dit le Safe Harbor, permettant le transfert de données personnelles vers ce territoire sans d’autre formalité pour les responsables de traitement.
Ce dispositif avait été invalidé le 6 octobre 2015 par la Cour de Justice de l’Union Européenne (CJUE) au motif qu’il ne garantissait pas une protection contre l’accès à grande échelle par les services de renseignement américains aux données transférées depuis l’Europe (affaire Schrems I, décision C-362/14 – 1).
Cet accord avait alors été remplacé dès le 2 février 2016 par le Privacy Shield ou « bouclier de protection des données ». Il était destiné à maintenir, au plus vite, les accords commerciaux tout en se conformant aux exigences de la CJUE.
En substance, l’accord reposait sur un mécanisme d’auto-certification des organisations américaines qui collectent des données à des fins commerciales.
Bien que les États-Unis s’étaient engagés à ce que les organisations adhérant au Privacy Shield assurent un niveau adéquat de protection des données, l’accord prévoyait une limitation à cette protection notamment pour « les exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect de la législation ».
Saisie de la validité de cet accord, la CJUE avait de nouveau estimé que l’ingérence des autorités publiques américaines portait nécessairement atteinte à la Charte des droits fondamentaux de l’Union européenne, et qu’aucune limitation, ni garantie n’était apportée pour les personnes non américaines. Par suite, la Cour avait invalidé le Privacy Shield le 16 juillet 2020 (arrêt dit « Schrems II », affaire C-311/18 – 2).
Les échanges de données vers les Etats-Unis ne bénéficiaient donc plus, depuis cette date, d’une décision d’adéquation et donc devaient être encadrés au moyen des autres outils imposés par le RGPD.
Adoption du nouveau cadre
En réponse à l’invalidation du Privacy Shield, le président américain Joe BIDEN a adopté le 7 octobre 2022, un décret présidentiel pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains.
Ce nouveau cadre transatlantique a été présenté à la Commission européenne afin qu’elle évalue s’il permettait d’assurer un niveau de protection adéquat des données des Européens.
Avant d’adopter définitivement sa décision, la Commission a soumis le 13 décembre 2022 le projet de décision pour avis au CEPD – 3.
Le 28 février 2023, le CEPD a émis son avis sur ce projet d’adéquation : en substance, il relève que les améliorations ont été apportées par le gouvernement des États-Unis, tout en faisant part de ses préoccupations sur un certain nombre de points – 4.
Finalement, le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’Union européenne.
Ainsi, depuis cette date, le transfert de données personnelles vers les Etats-Unis bénéficie d’un cadre permettant, sous condition, les exportations sans formalité supplémentaire.
Quel est le nouveau cadre applicable ?
C’est le système d’auto-certification des entités américaines qui a finalement été maintenu (comme au temps du Privacy Shield)
En pratique, cela signifie que les entités américaines doivent s’inscrire sur la liste des organismes certifiés par le département du commerce américain et doivent s’engager annuellement et publiquement à adhérer à ce cadre légal et à en respecter l’ensemble des principes.
Ainsi, si l’organisme est sur la liste du département du commerce américain : le transfert de données personnelles depuis l’Union européenne vers cette entité sera valide sans formalité supplémentaire pour les responsables de traitement.
A noter que les organismes qui bénéficiaient de la certification Privacy Shield et qui l’avaient maintenue après l’invalidation de la décision d’adéquation ont été automatiquement inscrits sur la nouvelle liste du département américain du commerce.
Ces organismes disposaient toutefois de 3 mois, soit jusqu’au 10 octobre 2023 pour mettre à jour leur politique de confidentialité.
Attention, cette mise à jour n’est pas nécessairement visible sur la fiche de l’organisme sur le site du département du commerce américain. Il appartient donc à l’exportateur de données de procéder à toute vérification utile pour s’assurer que l’entité vers laquelle il souhaite exporter des données personnelles est bien couverte par la certification au jour du transfert considéré.
Quelles conséquences en cas de non-respect du nouveau cadre par l’entité américaine réceptrice des données personnelles ?
Si l’organisme n’est pas sur la liste du département du commerce américain : le responsable de traitement devra avoir recours à l’un des autres outils d’encadrement des transferts prévus par l’article 46 du RGPD (les clauses contractuelles types, règles d’entreprise contraignantes, etc.) ou de se prévaloir d’une dérogation au titre de l’article 49 du RGPD (consentement de la personne, transfert nécessaire pour des motifs importants d’intérêt public, …).
Par ailleurs, l’entité à l’origine de l’exportation devra également dans ce cas réaliser, avant tout transfert, une analyse d’impact des transferts de données (AITD ou PIA). En effet, le traitement présentant un risque, l’exportateur devra évaluer, au cas par cas, si le niveau de protection requis par le droit de l’Union européenne est respecté en vertu des mesures de sécurité qu’il aura mis en place et que ces mesures seront bien respectées par l’organisme américain.
Le non-respect de ces dispositions et donc la réalisation d’un transfert de données personnelles à un destinataire situé dans un pays tiers ou à une organisation internationale sans encadrement dudit transfert est passible notamment d’une sanction administrative pouvant s’élever jusqu’à 20 000 000 Euros, ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Il est donc vivement recommandé aux entreprises qui exportent des données vers les Etats-Unis de s’assurer, en amont, de la licéité du transfert.
1 https://curia.europa.eu/juris/document/document.jsf;jsessionid=F9A23CD531ABABB167DF2E8FEB4FD7F6?text%20=&docid=169195&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1585028
2 https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=fr&mode=lst&%20dir=&occ=first&part=1&cid=1585284
3 Comité Européen de la protection des données : organe qui regroupe l’ensemble des autorités de protection des
données au niveau européen
4 Avis complet du CEPD https://edpb.europa.eu/news/news/2023/edpb-welcomes-improvements-under-eu-us-data-privacy-framework-concerns-remain_en