Actualité
6 min de lecture
14 mars 2023
Dans un avis du 28 février 2023, le Comité européen de la protection des données (CEPD) observe les améliorations apportées au cadre juridique entourant les transferts de données vers les États-Unis, tout en maintenant un certain nombre de réserves.

Conformément à l’article 70, § 1, s) du règlement général sur la protection des données (RGPD), le CEPD a été saisi pour avis au sujet du projet de décision d’adéquation publié par la Commission européenne le 13 décembre 2022 portant sur le cadre transatlantique de protection des données personnelles (EU-US Data Privacy Framework). Cet article prévoit en effet que le CEPD a notamment pour mission « de rendre à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale ».

Dans son évaluation, le CEPD s’attarde sur les aspects généraux en lien avec la protection des données personnelles, avant de consacrer de longs développements à l’accès et à l’utilisation des données transférées outre-Atlantique par les autorités publiques américaines (Avis n° 5/2023 du CEPD, 28 févr. 2023).

Les aspects généraux en lien avec la protection des données personnelles

Le CEPD s’inquiète tout d’abord des cas dans lesquels l’application des principes du cadre soumis à son évaluation peut être limitée. Il observe en ce sens que l’annexe I, I.5 du projet de décision d’adéquation prévoit que l’adhésion des organisations aux principes posés peut être limitée, notamment dans la mesure nécessaire pour se conformer à une décision de justice ou pour répondre à des exigences d’intérêt public, d’application de la loi ou de sécurité nationale mais elle peut également être limitée par une loi, une décision de justice ou une réglementation gouvernementale. Jugeant ces exemptions insuffisamment précises, le CEPD recommande à la Commission d’inclure dans le projet de décision une clarification du champ d’application de celles-ci, y compris sur les garanties applicables en vertu du droit américain.

En suivant, il regrette la complexité de la structure adoptée et l’absence ou la mauvaise utilisation de certains termes essentiels.

Puis, il s’attache à apprécier le contenu des principes inscrits dans le projet lui-même, tout en précisant qu’il ne reviendra pas sur les préoccupations ayant déjà été soulevées au sujet des principes établis dans le Privacy Shield, alors même que les principes de ce dernier ont globalement été repris dans le nouvel accord. En particulier, il s’attelle à vérifier l’existence et l’effectivité des droits pour la personne concernée. Selon lui, la formulation actuelle du projet qui limite la possibilité d’accéder aux données stockées et non traitées pourrait conduire à une interprétation étroite du droit d’accès. Ce même droit fait l’objet d’une exception jugée trop large par le CEPD dès lors que celle-ci concerne les informations accessibles au public et celles provenant des archives publiques. Le Comité souhaite en outre que des clarifications soient apportées sur les modalités dans lesquelles l’individu peut exercer son droit d’opposition et des garanties devraient être prévues en cas de décisions exclusivement automatisées. Il pointe du doigt le manque de clarté quant à l’application des principes posés aux sous-traitants et s’interroge sur le pouvoir réel des autorités de protection nationales de l’Union européenne en cas de plaintes déposées auprès de leur service. Sur ce point, le Comité souhaiterait (n° 78) :

  • obtenir de plus amples informations sur la question de savoir si la possibilité pour une telle autorité de donner des conseils sur les mesures correctives ou compensatoires pourrait inclure la recommandation de prononcer une amende ou le recours à des pouvoirs d’enquête ; et
  • savoir dans quelle mesure l’action d’une autorité de contrôle de l’Union européenne pourrait être prise en compte comme preuve pour les mesures d’exécution de la Federal Trade Commission (FTC) ou du Department of Transportation (DoT).

La seconde partie de l’avis se focalise sur le point qui avait cristallisé les difficultés lors de l’arrêt Shrems II rendu par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020 : l’accès et l’utilisation des données personnelles transférées aux États-Unis par les autorités publiques américaines (CJUE, grande ch., 16 juill. 2020, aff. C-311/18, Facebook Ireland et Schrems).

L’accès et l’utilisation des données par les autorités publiques américaines

Le CEPD différencie selon que l’accès aux données ou leur utilisation se fait à des fins d’application de la loi pénale ou pour des raisons de sécurité nationale. Dans les deux cas, les mêmes éléments sont pris en compte, à savoir que :

  • l’accès des services répressifs aux données à caractère personnel doit être fondé sur des règles claires, précises et accessibles ;
  • la nécessité et la proportionnalité par rapport aux objectifs légitimes poursuivis doivent être démontrées ;
  • un mécanisme de contrôle indépendant doit exister ;
  • l’individu doit disposer de voies de recours efficaces ;
  • des garanties doivent être prévues en cas d’utilisation ultérieure des informations collectées.

Accès aux données à des fins d’application de la loi pénale

Dans le cas d’un accès et d’une utilisation de données personnelles à des fins d’application de la loi pénale, c’est la réglementation en vigueur dans les différents États américains qui attire l’attention du Comité. Il encourage d’ailleurs la Commission à mener des investigations sur la protection assurée par la loi de ces États. L’évaluation qu’il effectue lui permet ensuite de considérer que les exigences de nécessité et de proportionnalité par rapport aux droits fondamentaux à la vie privée et à la protection des données sont respectées. De même, pour le Comité, un mécanisme de contrôle indépendant existe en ce qui concerne l’accès aux données, détenues par les entreprises américaines, par les autorités chargées de l’application de la loi. Au sujet des voies de recours dont doit disposer l’individu, il demande simplement à la Commission européenne de clarifier davantage si les voies de recours prévues permettent à la personne concernée d’avoir accès aux données à caractère personnel la concernant, d’obtenir la rectification ou l’effacement de ces données. Enfin, en cas d’utilisation ultérieure des informations collectées, que ce soit à l’intérieur du territoire américain ou à l’extérieur, le CEPD appelle de nouveau la Commission à apporter des précisions sur les garanties mises en place.

Accès aux données pour des raisons de sécurité nationale

Dans le cas d’un accès et d’une utilisation de données personnelles pour des raisons de sécurité nationale, le Comité recommande à la Commission de fournir plus de clarté quant à son évaluation des règles de conservation applicables aux données personnelles des citoyens américains. Il souhaiterait que des précisions soient apportées sur la collecte de masse et regrette l’absence d’autorisation préalable d’un organe indépendant dans ce cadre (n° 144). Pour lui, des clarifications doivent également être apportées relativement aux durées de conservation des données et il est nécessaire d’évaluer les garanties prévues en cas de transferts ultérieurs des données. Enfin, il émet des réserves en ce qui concerne les collectes généralisées temporaires. En ce qui concerne les mécanismes de contrôle, celui instauré en interne, qui requiert l’intervention d’inspecteurs généraux, est salué par le CEPD, quand celui instauré en externe pose davantage de difficultés. En effet, s’il valide l’intervention de la Commission de surveillance de la vie privée et des libertés civiles prévue par le décret du Président des États-Unis intitulé « Enhancing Safeguards for US Signals Intelligence Activities » (EO 14086), il n’en est pas de même de celle de la Cour de surveillance des services de renseignement étrangers (FISC) prévue par le Foreign Intelligence Surveillance Act (FISA). En ce sens, le Comité indique qu’il « maintient sa préoccupation que la FISC n’assure pas un contrôle judiciaire efficace du ciblage des personnes non américaines » (n°211).

Pour ce qui est enfin des voies de recours, le CEPD reconnaît que des améliorations significatives ont été apportées en ce qui concerne les pouvoirs de la Cour de révision de la protection des données (« DPRC ») et à son indépendance accrue par rapport au médiateur qui avait été créé dans le Privacy Shield. Il fait néanmoins part de deux préoccupations. Premièrement, il invite la Commission à clarifier davantage la notion d’« impact négatif » afin de garantir que toute violation des droits des personnes concernées soit évaluée et qu’il y soit remédié, sans avoir à démontrer un niveau de gravité pour pouvoir exercer un recours et pouvoir prétendre à une réparation appropriée. Deuxièmement, l’application générale de la réponse standard de la Cour de révision notifiant au plaignant qu’aucune violation n’a été identifiée ou qu’une décision exigeant des mesures correctives appropriées a été émise doit faire l’objet d’une surveillance particulière dès lors que cette réponse est définitive et n’est donc pas susceptible d’appel.

Malgré l’ensemble des réserves soulevées, le CEPD note positivement les améliorations substantielles apportées par l’ensemble des textes applicables par rapport au cadre juridique précédent, en particulier en ce qui concerne l’introduction des principes de nécessité et de proportionnalité et du mécanisme de recours individuel pour les personnes concernées de l’Union européenne (p. 6). On peut dès lors espérer que cette troisième tentative de la Commission européenne, survenant après les invalidations du Safe Harbor et du Privacy Shield, permette enfin aux acteurs de transférer des données personnelles de l’Union européenne vers les États-Unis en toute sécurité.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
61,52 € TTC
Revue de jurisprudence de droit des affaires