Toutefois, la question de la protection des données dépasse en réalité une simple problématique juridique et est l’expression de la coopération et des frictions de pouvoirs entre deux grandes puissances amies, et il n’est pas vraiment possible de comprendre la question sans comprendre les logiques de pouvoirs sous-jascents. Il faut donc comprendre la saga judiciaire (I) avant de pouvoir être en mesure de passer dans la phase d’implémentation (II)
L’origine du Privacy Shield et le problème des transfers UE / US
Le problème de fond est de déterminer comment assurer le transfer de données personnelles de l’Europe vers les Etats-Unis en conservant un niveau de protection identique à celui dont on dispose en Europe?
Le RGPD pose un principe simple : si la circulation et le traitement des données personnelles est libre en europe, en raison du niveau de protection fort ayant été établi par le règlement sur le sol européen - opérer le traitement des données hors de cet espace protégé est interdit, sauf à disposer d’un niveau de protection identique. la règle est posée clairement par l’article 44 qui indique que le transfer ne peut avoir lieu qu’à la condition que “le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis”.
Il existe dans le RGPD plusieurs mécanismes qui vont permettre de réaliser un transfert, les deux principaux utilisés à l’heure actuelle étant la décision d’adéquation - qui permet à la Commission européenne de décider après analyse de l’état du droit interne d’un pays - qu’un pays, ou un territoire dispose effectivement d’un niveau de protection adéquat. A défaut, et bien qu’il existe d’autre mécanismes, on utilise généralement des clauses contractuelles types qui permettent contractuellement de créer le même niveau de protection entre deux entités, que celui imposé par la loi.
En pratique les organisations européenne ont massivement recourt aux services de cloud américains, qui ont
- comment les organisations basées en Europe peuvent utiliser les moyens de traitement de données basés aux US ?
X. Flux transfrontaliers de données personnelles hors UE
Un tel transfert peut avoir lieu, lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers ou encore l’organisation internationale, assure un niveau de protection adéquat (dénommée décision d’adéquation).
Les transferts vers ce pays peuvent alors avoir lieu sans autorisation spécifique (Règl. (UE), 2016/679, 27 avr. 2016, art. 45, § 1). Si le pays destinataire des données ne bénéficie pas d’une telle décision d’adéquation, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et voies de droit effectives (Règl. (UE), 2016/679, 27 avr. 2016, art. 46, § 1).
Les garanties appropriées sont considérées comme étant fournies par : a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ; b) des règles d’entreprise contraignantes ; c) des clauses types de protection des données adoptées par la Commission ; d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission ; e) un code de conduite approuvé ou un mécanisme de certification approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées (Règl. (UE), 2016/679, 27 avr. 2016, art. 46, § 2). Même en dehors de ces différents instruments, les transferts de données vers des pays tiers restent envisageables sous certaines conditions telles que : lorsque la personne concernée a donné son consentement, que ce transfert est nécessaire à l’ exécution d’un contrat, pour des motifs importants d’intérêt public, pour la constatation, l’exercice ou la défense de droits en justice, pour la sauvegarde d’intérêts vitaux, ou en cas de registre accessible au public (Règl. (UE), 2016/679, 27 avr. 2016, art. 49, § 1).
La question de la légalité des flux de données vers les États-Unis fait l’objet d’une véritable saga judiciaire. Celle-ci prend sa source dans la décision d’adéquation dite « Safe Harbor » adoptée par la Commission européenne en juillet 2000 par laquelle la Commission a ouvert la possibilité de transférer des données vers les États-Unis pour les organisations qui respectaient les principes de la sphère de sécurité relatives à la protection de la vie privée. À la suite des révélations d’ Edward Snowden liées à la surveillance opérée par les autorités publiques américaines, l’autrichien Max Schrems a intenté une action demandant d’interdire à Facebook de transférer ses données vers les États-Unis. Dans une décision d’octobre 2015, la Cour de justice a, de manière inédite, déclaré la décision d’ adéquation invalide ( CJUE, 6 oct. 2015, aff. C-362/14, Schrems I). Elle considérait que les États-Unis autorisaient « de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes (…) sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’ objectif poursuivi » et qu’une atteinte au droit fondamental au respect de la vie privée en résultait. Elle relevait également qu’il n’existait « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès » à ses données ou d’exercer ses droits sur ses données. À la suite de cette annulation, la Commission européenne avait négocié avec le département du Commerce américain un nouveau dispositif d’auto-certification pour les sociétés établies aux États-Unis. La Commission avait adopté une décision d’adéquation de la protection assurée par le bouclier de protection (« Privacy Shield ») en 2016. Dans l’arrêt Schrems II, la Cour de justice a précisé que « l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci » ( CJUE, 16 juill. 2020, aff. C-311/18, Schrems II). En l’occurrence, la Cour devait évaluer le niveau de protection du Privacy Shield et avait décidé d’invalider à nouveau « la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis ».
Par ailleurs, l’arrêt Schrems II a validé les clauses contractuelles types issues de la décision 2010/87/UE de la Commission, du 5 février 2010 , relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46 /CE du Parlement européen et du Conseil , telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits.
Le 7 octobre 2022, Joe Biden, président des États-Unis, a signé un décret (Executive Order) relatif au « renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis ». Ce décret indique les mesures que les États-Unis prendront pour mettre en œuvre les engagements américains au titre du cadre de protection des données à caractère personnel entre l’Union européenne et les États-Unis (EU-U.S. Data Privacy Framework). En substance, l’Executive Order introduit de nouvelles garanties en limitant les possibilités d’accès des services de renseignement américains aux données provenant de l’Union européenne et en créant un nouvel organe pour accueillir les recours : la Data Protection Review Court.
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant la circulation des données avec les États-Unis. L’ association Noyb dirigée par Max Schrems a annoncé son intention d’agir contre cette décision en affirmant que les modifications ne seraient que cosmétiques et seraient insuffisantes pour répondre aux critiques de la Cour de justice.
En réaction à l’insécurité juridique générée par ces annulations successives, les autres outils de transferts de données ont été privilégiés par de nombreux acteurs. Le CEPD a apporté des précisions sur plusieurs autres mécanismes de transfert de données. À ce titre, il a publié des recommandations sur les mesures qui complètent les instruments de transfert et des lignes directrices sur les codes de conduite et la certification comme outils de transfert. Les recommandations 01 /2020 doivent ainsi aider les exportateurs dans la tâche complexe d’évaluer les pays tiers et d’identifier les mesures supplémentaires appropriées, le cas échéant. Ces recommandations fournissent aux exportateurs de données une série d’étapes à suivre, des sources d’information potentielles et quelques exemples de mesures supplémentaires qui pourraient être mises en place. Les lignes directrices 04/2021 sur les codes de conduite ont comme objectif de préciser leur cadre d’ application comme garanties appropriées pour les transferts de données à caractère personnel vers des pays tiers conformément à l’article 46-2-e) du RGPD . Elles visent également à offrir une plus grande transparence, en garantissant que les propriétaires de codes qui ont l’intention de demander l’approbation d’un code de conduite destiné à être utilisé comme outil de transfert soient pleinement informés du processus et comprennent les exigences formelles et les seuils appropriés requis pour la mise en place de tels codes de conduite. Quant aux lignes directrices 07/2022 sur la certification, celles-ci visent à préciser les conditions d’application de la certification comme mécanisme pour transférer des données vers des pays tiers (V. n° 30).
