Signature d’un décret par Joe Biden le 7 octobre 2022 sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis : vers un Schrems III ?
Corinne Thiérache
Depuis la décision Schrems II du 16 juillet 2020 (Transfert de données personnelles entre l’Europe et les Etats-Unis : la CJUE invalide le « Privacy Shield » !), invalidant le Privacy Shield qui encadrait le transfert de données entre les Etats-Unis et l’Union européenne, les entreprises américaines établies sur le marché européen, parmi lesquelles les géants Google, Facebook, Amazon et Microsoft, sont en porte à faux, au même titre que les entreprises européennes utilisant leurs outils.
A ce titre, la CNIL a notamment mis en demeure de nombreuses entreprises pour leur utilisation de Google Analytics. La CNIL considère que les conditions dans lesquelles les données sont collectées grâce à cet outil et transférées vers les Etats-Unis sont illégales (Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web).
Depuis 2020, le transfert de données personnelles entre l’Union européenne et les Etats-Unis est un sujet sensible. Après plusieurs années de négociation, un accord de principe a été signé le 25 mars 2022 entre l’Union européenne et les Etats-Unis. L’objectif principal est de pallier les faiblesses pointées par la décision Schrems II. La Commission énonçait alors dans un communiqué que « cette annonce est une nouvelle démonstration de la force des relations entre les Etats-Unis et l’Union européenne ».
Ce premier pas vient d’être suivi d’un second, le 7 octobre dernier, lorsque Joe Biden a signé un décret exécutif sur les données personnelles. Symbole de la volonté de rétablir la confiance entre Washington et Bruxelles, ce décret est indispensable pour développer et maintenir l’économie numérique.
Son objectif est donc de fournir à la Commission européenne une base afin de lui permettre d’adopter une nouvelle décision d’adéquation. Cette dernière devrait faciliter le transfert de données personnelles vers les Etats-Unis tout en instaurant un haut niveau de sécurité.
Dans cette perspective, plusieurs promesses sont faites au sein de ce décret :
- La plus importante est très certainement la mise en place d’un mécanisme indépendant et contraignant. Ce mécanisme devrait permettre aux citoyens européens de demander réparation dès lors que leurs données personnelles auront été illégalement collectées par les renseignements américains. En pratique, se pose toutefois la question de savoir si les citoyens européens seront effectivement informés de cette collecte illégale. Au sein du Cloud Act par exemple, l’utilisateur ne sera informé que si le fournisseur de services agit en justice pour demander la modification ou l’annulation de l’injonction de communiquer des données aux autorités américaines. Par ailleurs, quel citoyen européen sera véritablement prêt à intenter un procès aux Etats-Unis ? La mise en place de ce mécanisme en pratique interroge.
- Deux niveaux de recours sont prévus : l’un auprès d’un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l’autre auprès d’une nouvelle Cour d’examen de la protection des données. Les juges de cette Cour seront nommés en dehors du gouvernement américain, auront une expérience pertinente dans le domaine de la confidentialité des données et de la sécurité nationale et examineront chaque cas de manière indépendante.
- Le décret prévoit l’ajout de garanties supplémentaires pour l’accès des services de renseignement américains aux données des citoyens européens. Le décret exige notamment que ces activités ne soient menées que dans un objectif de sécurité nationale définie. Les services doivent également prendre en considération la vie privée et les libertés civiles de toute personne. Toutefois, cet objectif de sécurité nationale pourrait, comme pour le Cloud Act, permettre l’espionnage industriel.
De manière générale, ce texte vient renforcer les mesures visant à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains visant les données européennes transférées ou hébergées aux Etats-Unis.
Mais ce décret remplit-il l’objectif « d’approfondir notre partenariat en tant que communauté de démocraties afin de garantir à la fois la sécurité et le respect de la vie privée et de permettre des opportunités économiques pour nos entreprise et nos citoyens » énoncé par la Commission européenne en mars dernier ?
Si Gina Raimondo, secrétaire américaine au Commerce, estime que « ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l’Union européenne et couvriront les transferts de données personnelles vers les Etats-Unis en vertu du droit de l’Union européenne », tel n’est pas l’avis de tous. En effet, Maximilien Schrems, à la tête de l’association Noyb, a informé l’AFP que son association allait probablement attaquer le texte en justice.
Il constate déjà que « de prime abord, il semble que les questions centrales ne sont pas résolues et le dossier sera de retour devant la justice tôt ou tard », la Commission européenne fermant selon lui les yeux sur la loi américaine.
La loi américaine en matière de données personnelles est réputée pour être lacunaire et pour mettre en danger la protection des données des européens.
A ce titre, le Cloud Act a été fortement critiqué mais tel est également le cas du Foreign Intelligence Amendment Act (FISA), une loi fédérale modifiée en 2008. En effet, elle autorise les administrations américaines à collecter, à des fins d’ordre public, les données personnelles détenues par des personnes morales de droit américain, même lorsque les données concernent des non-américains.
Dans une même perspective, l’Electronic Communications Privacy Act (EPCA) autorise le gouvernement américain à accéder à des communications numériques dans des bases de données de cloud public et ce, sans mandat. L’Email Privacy Act (EPA) avait pour objectif de modifier l’EPCA en prévoyant la nécessité d’un mandat pour les éléments datant de 180 jours ou plus, mais n’a jamais été adopté par le Sénat.
En tout état de cause, la signature du décret est une première avancée. La Commission européenne peut désormais proposer un projet de décision d’adéquation et lancer sa procédure d’adoption.
Le Comité européen de la protection des données sera invité à se prononcer sur ce projet et un comité composé de représentants des Etats membres de l’Union européenne sera sollicité afin de donner son feu vert sur le projet. Ensuite, la Commission européenne pourra adopter la décision finale d’adéquation concernant les Etats-Unis. Ainsi, rien ne sera définitivement adopté avant l’été 2023 et d’ici là, les membres de l’association Noyb auront le temps de passer le décret américain au crible et de lancer une nouvelle bataille judiciaire.
Ce nouveau rebondissement dans le monde du transfert des données personnelles aura sans nul doute un impact considérable pour les opérateurs économiques européens utilisant des services de prestataires américains. Il serait toutefois prématuré de penser que les transferts de données personnelles vers les Etats-Unis sont désormais autorisés grâce à ce décret. La route risque d’être encore longue.
Les avocats d’Alerion du Département Protection des données personnelles peuvent assister leurs clients pour mieux appréhender l’impact de ce décret, de l’éventuelle décision d’adéquation qui pourrait en découler et de mettre en place des mesures pour gérer au mieux cette période transitoire qui souffre cruellement de sécurité juridique.
Corinne Thiérache, Associée