Le 13 décembre 2022, la Commission européenne a adopté son projet de décision d’adéquation destiné à remplacer le précédent bouclier américain de protection des données (« Privacy Shield ») invalidé par la Cour de justice de l’Union européenne (« CJUE ») le 16 juillet 2020, dans son arrêt « Schrems II ». Le 28 février 2023, le Comité Européen de la protection des données (« CEPD ») a rendu son avis sur ce projet de décision d’adéquation.
Le 28 février 2023, le CEPD a rendu un avis en demi-teinte sur le projet de décision d’adéquation encadrant le transfert et la protection des données personnelles de l’UE vers les Etats-Unis.
Pour mémoire, en application du RGPD, un transfert de données personnelles depuis l’Union européenne vers un pays tiers peut avoir lieu :
- lorsque la Commission a constaté par voie de décision que le pays tiers assure un niveau de protection adéquat (art. 45 RGPD). C’est la décision d’adéquation qui légitime le transfert.
- en l’absence d’une telle décision d’adéquation, le transfert est possible uniquement si le responsable de traitement apporte des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de droit effectives (art. 46 RGPD). Cela passe en pratique par l’adoption de règles contraignantes d’entreprises ou la conclusion de clauses contractuelles types.
Jusqu’en 2020, le transfert de données depuis l’UE vers les Etats-Unis était encadré par le Privacy Shield résultant de la décision d’adéquation (n°2016/1250) adoptée par la Commission européenne en date du 12 juillet 2016[1].
La Cour de justice de l’UE, dans sa décision « Schrems II » du 16 juillet 2020, a invalidé le Privacy Shield aux motifs que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers les États-Unis, et que la Commission a évaluées dans la décision BPD, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union » (Point 185).
Depuis cette décision, les transfert UE-US de données personnelles sont possibles mais impliquent pour les responsables de traitement la mise en place d’un véritable plan d’actions aux fins de s’assurer de la légalité du transfert (recensement, évaluation des risques liés au transfert, mise en place de clauses contractuelles types, suivi des transferts, etc.).
En réponse à l’invalidation du Privacy Shield, le Président des Etats-Unis, Joe Biden, a adopté le 7 octobre 2022 une nouvelle règlementation dénommée « Executive Order » ayant notamment vocation à renforcer les mesures concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains pour apporter des garanties conformes aux RGPD et répondre ainsi aux préoccupations soulevées par la CJUE dans son arrêt « Schrems II ».
Ce nouveau cadre juridique a été soumis à la Commission européenne afin qu’elle évalue s’il permet d’assurer un niveau de protection adéquat des données personnelles transférées aux Etats-Unis. C’est dans ce contexte que, le 13 décembre 2022, la Commission européenne a adopté un projet de décision d’adéquation qu’elle a adressé pour avis au Comité Européen de la protection des données(« CEPD »)[2].
Le 28 février 2023, le CEPD a adopté et publié son avis sur ce projet de décision d’adéquation[3].
En substance, le CEPD a constaté que le nouveau cadre légal américain apportait des améliorations par rapport au cadre juridique précédent « en particulier en ce qui concerne l’introduction des principes de nécessité et de proportionnalité et le mécanisme de recours individuel pour les personnes concernées de l’UE » (page 6 de l’avis du CEPD).
Néanmoins, le CEPD relève des zones d’ombres nécessitant des clarifications notamment en ce qui concerne « certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire de données en vrac et le fonctionnement pratique du mécanisme de recours »[4].
S’agissant de « la collecte en vrac »[5] par exemple, prévue aux Etats-Unis par le décret 12333 réglementant l’accès aux informations à des fins de sécurité nationale, le CEPD note que celle-ci n’est « pas conditionnée à une autorisation préalable d’une autorité indépendante, comme l’exige pourtant la jurisprudence la plus récente de la Cour européenne des droits de l’homme, ni de contrôle indépendant systématique a posteriori par un tribunal ou une instance indépendante équivalente » (page 5 du CEPD).
En conséquence, et afin d’éviter une nouvelle invalidation d’une future décision d’adéquation d’un tel texte par la CJUE et assurer un niveau de protection suffisant des données personnelles des ressortissants de l’UE, le CEPD invite laCommission européenne à fournir « les clarifications demandées afin de consolider les fondements du projet de décision et d’assurer un suivi étroit de la mise en œuvre concrète de ce nouveau cadre juridique ».
Avant d’adopter définitivement ce projet de décision d’adéquation, la Commission européenne devra encore obtenir l’approbation du comité de représentants des Etats membres[6].
Dans l’attente de cette adoption, les responsables de traitement doivent eux continuer de s’assurer de la conformité de leurs transferts de données vers les Etats-Unis en utilisant les clauses contractuelles types ou autres outils listés à l’article 46 du RGPD.
[1] Décision d’exécution (UE) 2016/1250 de la commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis
[2] Le CEPD : « Organe européen indépendant qui contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne et encourage la coopération entre autorités de l’UE chargées de la protection des données »( https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_fr)
[3] EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain | European Data Protection Board (europa.eu)
[4] EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain | European Data Protection Board (europa.eu)
[5] La « collecte en vrac » est définie comme « la collecte autorisée de grandes quantités de données de renseignement d’origine électromagnétique qui, pour des raisons techniques ou opérationnelles, sont acquises sans l’utilisation de discriminants (par exemple, sans l’utilisation d’identificateurs spécifiques ou de termes de sélection) » – point 136 du CEPD
[6] Article 45 du RGPD ; Article 93, paragraphe 3 du RGPD ; Article 5 du règlement (UE) no 182/2011