Après des mois d’insécurité juridique, la Commission européenne a finalement adopté le 13 décembre 2022 un projet de décision d’adéquation pour faciliter le transfert de données à caractère personnel depuis l’Union européenne vers les Etats-Unis …

Contexte d’adoption de la décision d’adéquation.

A titre liminaire, il convient de rappeler que pour pouvoir transférer des données à caractère personnel depuis l’Union européenne vers un Etat tiers, l’Etat tiers en question doit bénéficier d’une décision d’adéquation, délivrée par la Commission européenne, et ce conformément à l’article 45 du RGPD. Le cas échéant, un transfert n’est possible que si des garanties appropriées ont été adoptées par le responsable de traitement ou le sous-traitant, agissant en tant qu’exportateur de données (Art. 46 RGPD). Ainsi, l’adoption de règles d’entreprise contraignantes ou la conclusion de clauses contractuelles types (ci-après « SCCs ») peuvent permettre le transfert de données, et ce quand bien même l’Etat tiers ne bénéficierait pas d’une décision d’adéquation.

Jusqu’au retentissant arrêt Shrems II (Cour de justice de l‘Union européenne, Data Protection Commissioner, 16 juillet 2020, C-331/18) de la Cour de justice de l’Union européenne, les transferts de données à caractère personnel depuis l’Union européenne vers les Etats-Unis étaient encadrés par le Privacy Shield, un mécanisme destiné à garantir le respect des normes européennes de protection des données pour les transferts transatlantiques UE-US de données, adopté le 12 juillet 2016 et sur lequel était basée la décision d’adéquation délivrée par la Commission européenne en juillet 2016 (Décision d’exécution 2016/1250 de la Commission européenne du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis).

Dans son arrêt Shrems II du 16 juillet 2020, les juges du Luxembourg ont justifié l’invalidation du Privacy Shield, et de facto de la décision d’adéquation afférente, en pointant le manque de garanties offertes par le cadre juridique américain, et notamment les lois relatives au renseignement américain, qui étaient à même de porter atteinte à la vie privée des citoyens européens dont les données personnelles auraient été transférées aux USA.

La cour a également considéré que l’adoption de garanties supplémentaires telles que prévues à l’article 46 RGPD ne sauraient à elles-seules être suffisantes pour garantir la sécurité des données. Elle a ainsi enjoint aux responsables de traitement et aux sous-traitants de procéder avant tout transfert de données, à une évaluation des risques liés audit transfert (anglais : Data Transfer Risks Assessment) tout en restant silencieuse quant à la méthode à suivre.

Afin d’aiguiller les entreprises, qui ne pouvaient se baser exclusivement sur l’un des instruments de l’Article 46 RGPD, le Comité européen de la protection des données a publié des recommandations [1] visant à leur fournir des outils pour procéder à l’Evaluation des risques liés au transfert de données personnelles, leur permettant ainsi d’identifier les potentiels risques et d’adopter les mesures de sécurités nécessaires afin de minimiser la survenance desdits risques.

Entre-temps, la Commission européenne a entamé des discussions avec le gouvernement américain en vue de l’adoption d’une nouvelle décision d’adéquation qui répondrait aux exigences du GDPR et aux inquiétudes soulevées par la Cour de justice de l’Union européenne. C’est ainsi que le 13 décembre 2022, après l’adoption par les États-Unis d’un décret sur l’amélioration des garanties pour les activités de renseignement unifié des États-Unis [2], la Commission européenne a adopté le projet de décision d’adéquation, dont les principaux points seront brièvement abordés ci-après.

Une décision d’adéquation basée sur le Cadre de protection des données UE-US (CPD UE-US).

Le cadre de protection des données UE-US (ci-après "CPD UE-US") a été publié le 22 octobre 2022. Pour pouvoir bénéficier de ce cadre, les entreprises américaines devront être certifiées et s’engager à adhérer aux « principes cadres de protection des données ».

Une fois certifiées, ces dernières n’auront guère besoin d’adopter des garanties supplémentaires et pourront importer des données personnelles depuis l’Union européenne sans avoir à effectuer de démarches additionnelles.

La plupart des principes inscrits dans le RGPD ont été repris dans le CPD UE-US. On y retrouve ainsi le principe de licéité du traitement, de minimisation des données, de limitation des finalités, de transparence ou encore celui d’intégrité. Ces principes ne seront pas plus approfondis dans le présent article. Toutefois, trois « nouveaux » principes méritent une attention particulière : le (1) principe de notification, le (2) principe de choix et le (3) principe de recours, d’application des principes et de responsabilité.

(1) Le principe de notification.

Selon le principe de notification, les entreprises devront informer les personnes concernées sur leur adhésion ou non au FPD UE-US et leur fournir les informations suivantes : les catégories de données transférées et traitées par le l’importateur de données, les finalités du traitement, les catégories ou de l’identité des tiers avec lesquels les données personnelles peuvent être partagées, leurs droits en matière de protection des données personnelles (et notamment le droit d’accès, de rectification ou d’effacement) et les voies de recours disponibles en cas de violation des données personnelles. Ces informations devront être contenues dans une politique de confidentialité portée à la connaissance de la personne concernée.

(2) Le principe de choix.

Le principe du choix couvre deux situations. La première, lorsqu’une entreprise américaine traite les données à caractère personnel d’une personne concernée pour une finalité autre que la finalité initiale ou lorsque celle-ci les partage avec un tiers.

Dans ce cas, l’entreprise devra donner à la personne concernée la possibilité de refuser le traitement en utilisant la méthode de l’opt-out. En pratique, les entreprises ne devront pas obtenir le consentement préalable des personnes concernées, mais devront leur donner la possibilité de s’opposer au traitement de donnée. Une exception est néanmoins prévue concernant le traitement des données relatives aux données des employés. Dans le cas où un importateur de données recevrait des données personnelles concernant des employés et souhaiterait les traiter à des fins autres que professionnelles (à des fins de marketing par exemple) ou partager ces dernières avec un tiers, il devra au préalable obtenir le consentement de l’employé en utilisant la méthode de l’opt-in.

La seconde, lorsqu’une entreprise souhaite traiter des catégories sensibles de données à caractère personnel pour d’autres finalités que la ou les finalités initiales ou partager ces données avec un tiers. Dans ce cas, et avant tout transfert de données, l’entreprise devra obtenir le consentement explicite et non équivoque de la personne concernée (anglais : affirmative express consent). Pour ce faire, il pourra être demandé à la personne concernée de cocher une case ou de signer un document spécifique. En plus des informations couvertes par le principe de notification, la personne concernée devra être informée de la finalité des traitements ultérieurs, et en cas de partage de données, de la catégorie ou de l’identité des destinataires. Par ailleurs, même si cela n’est pas explicitement spécifié dans le projet de décision d’adéquation, pour être valable, le consentement devra être donné librement, être spécifique et informé [3].

(3) Le principe de recours, d’application des principes et de responsabilité.

Afin de s’assurer du respect et de la bonne application des principes cadres, les entreprises devront adopter des procédures de suivi et de vérification. Celles-ci ont pour objet de vérifier la véracité des affirmations faites par ces dernières pour obtenir la certification. La vérification du respect des principes cadres pourra être fait soit par l’entreprise elle-même (auto-évaluation) soit par un tiers. Il convient également de souligner que, pour pouvoir continuer à bénéficier du CPD UE-US, les entreprises devront renouveler leur certification une fois par an en confirmant leur adhésion aux principes cadres relatifs à la protection de la vie privée.

Concernant le principe de recours et le principe de responsabilité, il est attendu des entreprises qu’elles mettent en œuvre des mécanismes efficaces pour traiter les plaintes des personnes concernées permettant également de traiter les cas de violations des principes cadres auxquels les entreprises ont librement adhéré. Pour ce faire, les entreprises pourront par exemple s’engager à coopérer avec les autorités de contrôle européennes (la CNIL, l’AZOP, le Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, etc) ou s’inscrire auprès d’un organisme indépendant de règlement extrajudiciaire des litiges.

En dernier recours et en cas de résolution infructueuse du litige, une personne concernée pourra également faire appel au Bureau d’Arbitrage contraignant crée par le FPD UE-US (anglais : EU-U.S. Data Privacy Framework Panel).

Un cadre de protection bénéficiant aux seules entreprises certifiées.

Pour être certifiées, les entreprises devront être soumises aux pouvoirs d’enquête et d’exécution de la Federal Trade Commission ou du Ministère du commerce des Etats-Unis, devront s’engager à respecter les Principes cadres de la protection des données mentionnés et certifier une fois par an leur adhésion à ces principes.

Dans le cadre de leur demande de certification, les entreprises devront transmettre, inter alia, une description des finalités du transfert, une liste des catégories de données à caractère personnel qui seront couvertes par la certification, la méthode de vérification choisie (auto-évaluation ou audit externe) ainsi que le mécanisme de recours indépendant choisi par l’entreprise.

Il est important de noter que le processus d’ "auto-certification" est similaire à celui utilisé dans le cadre du Safe Harbor et de l’ancien Privacy Shield. Toutefois, les entreprises devront s’assurer que les informations soumises pour la certification sont justes et que les principes cadres ont été dument mis en œuvre étant donné que le non-respect des obligations pourra entraîner des sanctions de la part de la Federal Trade Commission pour violation non seulement des règles applicables en matière de protection de la vie privée, mais aussi des règles antitrust.

La décision d’adéquation n’est pas encore entrée en vigueur. En attendant son adoption définitive, prévue au printemps 2023, les entreprises européennes et américaines doivent toujours utiliser les clauses contractuelles types ou l’un des instruments listés à l’article 46 RGPD et réaliser des évaluations des risques conformément aux recommandations 01/202 du Comité Européen de la Protection des Données.

Nikola Kadić Consultant en protection des données personnelles / Auditeur