A la suite de l’invalidation du Privacy Shield en juillet 2020 (décision d’adéquation autorisant, sous conditions, le transfert de données personnelles entre l’Union européenne et les Etats-Unis) par la Cour de justice de l’Union européenne (CJUE), le président des États-Unis, Joe Biden, a adopté le 7 octobre 2022 un Executive Order pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains.
Conformément à la procédure visée à l’article 45 du RGPD, ce projet de cadre légal a été soumis à la Commission européenne afin qu’elle évalue s’il permet d’assurer un niveau de protection adéquat des données des européens. Avant d’adopter définitivement sa décision, reconnaissant le caractère adéquat de ce nouveau dispositif, la Commission a soumis un projet de décision pour avis au Comité européen de la protection des données (CEPD).
Le 28 février 2023, le CEPD a adopté et publié son avis sur ce projet de décision d’adéquation.
Des progrès sont relevés par le CEPD, notamment l’introduction d’exigences reflétant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement américains et le nouveau mécanisme de recours pour les personnes concernées de l’UE.
L’Executive Order consacre également davantage de garanties afin d’assurer l’indépendance de la Privacy and Civil Liberties Oversight Board (PCLOB) Américaine, par rapport au mécanisme précédent du médiateur, et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.
Cependant, des craintes persistent concernant certains droits des personnes concernées (exemptions au droit d’accès notamment), l’encadrement des transferts ultérieurs de données personnelles (manque de clarté concernant l’applicabilité du cadre juridique aux sous-traitants ultérieurs), ou encore l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. Le CEPD apprécierait ainsi que l’entrée en vigueur, mais aussi l’adoption de la décision d’adéquation prévue par la Commission européenne soient conditionnées à l’adoption de politiques et de procédures actualisées pour mettre en œuvre l’Executive Order par toutes les agences de renseignement américaines. Par ailleurs, il convient de noter que le projet de décision d’adéquation repose sur le EU-U.S. Data Privacy Framework (DPF), qui est applicable uniquement aux organisations américaines qui se sont auto-certifiées comme conformes à ce référentiel.
L’avis de nos praticiens
Si l’on peut évidemment se féliciter de l’avancée du sujet des transferts de données personnelles entre l’Union européenne et les Etats-Unis, force est de constater que le chemin vers une décision d’adéquation est encore vague.
L’incertitude juridique dans laquelle se trouve les responsables de traitement européens dans leurs relations avec, notamment, les éditeurs de logiciels ou fournisseurs de cloud étasuniens, ne trouve toujours pas de réponse concrète. Il aurait été souhaitable que le CEPD donne des éclaircissements ou signes positifs sur les éventuels risques actuels de sanctions pour les entités européennes qui ont recours à ces prestataires ou partenaires américains, sans être en mesure d’imposer contractuellement des garanties juridiques et techniques additionnelles.
Alors que les cloud souverains européens commencent à voir le jour, il semble toutefois difficile aujourd’hui pour les responsables de traitement de se passer pleinement de leurs partenaires américains. Cependant, les difficultés techniques et économiques rencontrées pour mettre en œuvre les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE ne trouvent toujours pas de solution.
Enfin, il semble important, pour les exportateurs de données, de maintenir leur approche par les risques concernant leurs relations avec des entités américaines et de documenter, dans la mesure du possible, l’ensemble des garanties qui sont mises en œuvre pour sécuriser ces transferts, en l’attente de l’adoption d’une décision d’adéquation.
