Actualité
6 min de lecture
12 janvier 2023
La Commission européenne a rendu public un projet de décision d’adéquation reconnaissant le caractère substantiellement équivalent de la protection assurée par le cadre établi par les États-Unis afin de permettre le transfert des données personnelles de l’Union européenne vers les entités américaines ayant adhéré à ce cadre. Retour sur les points clés de ce projet.

Le projet de décision d’adéquation concernant le cadre de protection des données UE-États-Unis intervient après que la CJUE a invalidé les décisions précédentes ayant reconnu comme adéquats les principes du Safe Harbor et du Privacy Shield (CJUE, grande ch., 6 oct. 2015, aff. C-362/14, Schrems ; CJUE, grande ch., 16 juill. 2022, aff. C-311/18, Facebook Ireland et Schrems). Avec ces arrêts, le transfert vers les États-Unis posait de grandes difficultés. En effet, même si les autres fondements possibles à ce transfert, notamment les clauses contractuelles types et les binding corporate rules, n’avaient pas été invalidés en théorie, leur application en pratique était source d’une grande insécurité juridique. Pour cette raison, une nouvelle décision d’adéquation était attendue. Le projet publié au mois de décembre 2022 répond à cette attente. Il fait suite à la publication du décret du Président des États-Unis intitulé « Enhancing Safeguards for US Signals Intelligence Activities  » (EO 14086), complété par un règlement adopté par le procureur général des États-Unis (règlement AG).

Remarque

on inclut dans cet ensemble les principes publiés par le Ministère du Commerce américain qui sont annexés au projet de décision rendu public par la Commission européenne.

D’un point de vue formel, le projet est composé de plusieurs parties. On trouve tout d’abord le corps de la décision d’exécution par laquelle la Commission européenne reconnaît le niveau adéquat du système institué par les États-Unis, puis, sept annexes. L’importance de ces annexes ne doit pas être sous-estimée, notamment celle de l’annexe I qui fixe, d’une part, la liste des principes provenant du Ministère du Commerce des États-Unis et énonce, d’autre part, les conditions dans lesquelles les organisations adhérant au cadre de protection sont tenues d’arbitrer les demandes formulées par les personnes concernées.

D’un point de vue substantiel, le projet balaie les grands principes issus du règlement général sur la protection des données (RGPD) pour s’assurer de leur respect (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016 : JOUE n° L 119, 4 mai). Il présente un intérêt sur deux points en particulier :

  • la possibilité pour la personne concernée de disposer d’un droit de recours effectif à l’encontre des organisations adhérant aux principes fixés par le cadre de protection ;
  • et la collecte et la réutilisation des données personnelles par des autorités publiques.

L’existence de recours effectifs pour la personne concernée

Sur ce point, la Commission européenne établit une liste des possibilités offertes à la personne concernée qui considère que ses droits et libertés ont été violés du fait du traitement de données la concernant.

Dans un premier temps, la personne devrait se référer à l’organisation adhérente au cadre de protection et située sur le territoire américain, sans que ce préalable soit obligatoire (point 68). Pour ce faire, elle peut joindre le point de contact désigné par l’organisation qui dispose de 45 jours pour répondre à la plainte.

Outre la saisine de l’organisation adhérente, la personne dispose d’un éventail de choix. Elle peut ainsi recourir à un organisme indépendant de résolution des litiges situé dans l’Union ou aux États-Unis et désigné par l’organisation adhérant au cadre de protection (point 69). Ce recours doit être gratuit pour elle et l’organisme indépendant doit être en mesure d’assurer le respect des principes protecteurs par les organisations.

Si elle le souhaite, la personne concernée peut aussi saisir les autorités de protection des données nationales (point 72). Les organisations adhérentes seront alors tenues de coopérer avec l’autorité saisie dans deux cas :

  • soit quand le traitement porte sur des données relatives aux ressources humaines collectées dans le cadre d’une relation de travail ;
  • soit quand l’organisation a choisi de se soumettre à la surveillance des autorités de protection des données.

La quatrième possibilité fait intervenir le Ministère du Commerce des États-Unis (point 77). Ici, la personne concernée peut saisir son autorité de protection nationale qui fera suivre la plainte au Ministère du Commerce américain ; ce dernier l’examinera et entreprendra les meilleurs efforts pour la traiter.

Cinquièmement, la Federal Trade Commission (FTC) peut être amenée à jouer un rôle important, à la demande d’organismes indépendants de résolution des litiges, du Ministère du Commerce américain, des autorités de protection nationales, de la personne concernée ou même de sa propre initiative (point 79).

Dans les cas où la plainte n’a pas été résolue par l’un de ces mécanismes, il est possible de demander qu’un processus d’arbitrage contraignant soit mis en œuvre par le « groupe d’experts UE-États-Unis sur la confidentialité des données » (EU-U.S. Data Privacy Framework Panel) (point 80). Ce dernier est constitué d’au moins dix arbitres qui seront désignés par le Ministère du Commerce des États-Unis et la Commission « sur la base de leur indépendance, leur intégrité ainsi que de leur expérience en matière de droit américain de la vie privée et de droit de l’Union en matière de protection des données. Pour chaque litige, les parties choisissent dans ce groupe un ou trois arbitres » (point 81).

Enfin, il sera aussi possible pour la personne concernée d’utiliser des voies de recours judiciaires supplémentaires issues du droit américain, dans des secteurs identifiés, dès lors qu’une organisation ne respecte pas son engagement à respecter le cadre de protection (point 85).

La présence de garanties en cas de collecte et de réutilisation des données par les autorités publiques américaines

Cette question était peut-être la plus sensible pour la Commission européenne, tant l’arrêt de la CJUE du 20 juillet 2020 ayant invalidé la décision d’adéquation relative au Privacy Shield avait mis en exergue les risques pour les droits et libertés fondamentaux résultant de l’accès aux données par les autorités américaines.

La Commission analyse les garanties prévues selon que l’accès et la réutilisation des données personnelles par les autorités publiques ont lieu à des fins d’application du droit pénal ou de sécurité nationale. Dans chacun des cas, elle analyse les fondements légaux permettant ces traitements, les limites et les garanties prévues. Elle s’intéresse notamment à la surveillance des activités de ces autorités et à la possibilité pour la personne concernée de former un recours judiciaire contre une autorité publique ou l’un de ses agents, lorsque ces autorités traitent des données à caractère personnel. On notera que si ces voies sont ouvertes à toutes les personnes, quelle que soit leur nationalité, elles le sont sous réserve de respecter certaines conditions.

Pour ce qui concerne plus particulièrement la collecte et l’utilisation des données personnelles à des fins de sécurité nationale, la Commission observe que plusieurs voies de recours existent aux États-Unis qui offrent aux personnes concernées la possibilité d’intenter une action en justice devant un tribunal indépendant et impartial, doté de pouvoirs contraignants (point 167). Elle cite notamment le mécanisme de recours spécifique établi par le décret EO14086, complété par le règlement AG, qui crée la Cour de contrôle de la protection des données, pour traiter les plaintes des particuliers concernant les activités de renseignement électromagnétique des États-Unis. La personne qui souhaite introduire une plainte le fait par l’intermédiaire de l’autorité de contrôle compétente au sein de son État. Elle n’a pas à prouver que ses données ont effectivement fait l’objet d’un renseignement électromagnétique américain mais elle doit fournir certaines informations telles que :

  • « les données personnelles dont on peut raisonnablement penser qu’elles ont été transférées aux États-Unis et les moyens par lesquels on pense qu’elles ont été transférées ;
  • l’identité des entités du gouvernement des États-Unis supposées être impliquées dans la violation présumée (si elle est connue) ;
  • le fondement de l’allégation selon laquelle une violation de la loi américaine a été commise (NDLR : bien que, là encore, il ne soit pas nécessaire de démontrer que les données personnelles ont été effectivement collectées par les agences de renseignement américaines) ;
  • et la nature de la réparation demandée » (point 170).

A l’issue de son raisonnement, la Commission aboutit à la conclusion que l’ingérence, « à des fins d’application du droit pénal et de sécurité nationale, par les autorités publiques américaines dans les droits fondamentaux des personnes dont les données à caractère personnel sont transférées de l’Union aux États-Unis en vertu du cadre UE-États-Unis sur la protection des données, sera limitée à ce qui est strictement nécessaire à la réalisation de l’objectif légitime en question et qu’il existe une protection légale efficace contre une telle ingérence » (point 195).

On notera que cette conclusion n’est pas partagée par tous les acteurs agissant dans le domaine de la protection des données personnelles, certains ayant déjà annoncé leur intention de former un recours à l’encontre de la décision d’adéquation qui sera adoptée. Pour l’heure, le projet a été soumis au Comité européen de la protection des données (CEPD) qui recommandera très probablement que des modifications y soient apportées. Un comité composé de représentants des États membres de l’Union européenne sera ensuite saisi et le Parlement européen disposera d’un droit de regard. L’adoption de la décision ne pourra se faire qu’à l’issue de ce processus. Il reste à espérer que ce dernier permettra au projet de gagner en solidité, au risque que la décision d’adéquation finalement adoptée connaisse le même sort que les décisions précédentes.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Projet de décision d'adéquation concernant le cadre de protection des données UE-États-Unis, 13 déc. 2022 (en anglais)
Document PDF
Aller plus loin
ELnet DROIT DES AFFAIRES
Des réponses opérationnelles en droit des sociétés et des dirigeants ; droit commercial ; droit de la concurrence, de la consommation et de la distribution ; droit de la propriété intellectuelle et industrielle.
à partir de 465.05€ HT/mois
ELnet DROIT DES AFFAIRES
Autres articles sur le même thème
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
Droit des affaires
Protection des données personnelles (RGPD)
« Pay or okay »  : le CEPD remet en cause les modèles des plateformes en ligne
19 avr. 2024
Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
Droit des affaires
Protection des données personnelles (RGPD)
Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
18 avr. 2024
20 % des violations de données sont causées par des erreurs humaines
Droit des affaires
Protection des données personnelles (RGPD)
20 % des violations de données sont causées par des erreurs humaines
29 mars 2024
  2. Droit des affaires
Trouvez rapidement et gratuitement une réponse fiable à votre question juridique
www.lefebvre-dalloz.fr
formation.lefebvre-dalloz.fr
Nous contacter
Nos sites édition
www.dalloz.fr
www.efl.fr
www.editions-legislatives.fr
Mentions légales
CGU
politique de confidentialité
Paramétrage des cookies
© Éditions Francis Lefebvre, 2024
© Éditions Législatives, 2024
© Éditions Dalloz, 2024