Le vendredi 7 octobre 2022, Joe Biden a signé un décret exécutif visant à améliorer la protection des données personnelles des européens qui sont transférés ou hébergés aux États-Unis. La Maison Blanche s’efforce de répondre deux ans plus tard aux exigences de la Cour de Justice de l’Union européenne après l’invalidation du « Privacy Shield ». Ce décret présidentiel est le souhait de mettre fin à une situation juridique instable pour les entreprises américaines et européennes en raison de l’absence de décision d’adéquation prévu à l’article 45 du RGPD.
Une vision américaine de la protection des données passant obligatoirement par une pratique de surveillance de masse: bête noire du modèle européen
L’histoire du transfert des données personnelles européenne vers le pays de l’oncle Sam est souvent frappée de rebondissements. La mise en place du RGPD par l’Union européenne a non seulement impacté les entreprises étrangères, mais aussi les États étrangers. Ce décret en est une parfaite illustration. De surcroît, les jurisprudences de la Cour de Justice de l’Union européenne ont une véritable influence sur la politique des données personnelles Outre-Atlantique. Les célèbres jurisprudences « Shrems » ont joué un rôle majeur dans la politique de protection des données personnelles entre ces deux pôles. En effet, l’arrêt « Shrems I », rendu en 2015, est venu invalider le mécanisme d’adéquation « Safe Harbor » entre l’Union européenne et les États-Unis, suite aux révélations D’Edward Snowden sur le programme Américain « PRISM » qui permettait aux autorités américaines comme la NSA d’accéder aux données de toutes les grandes entreprises américaines, même si elles adhéraient au programme du « Safe Harbour ».
À la suite de cette invalidation, le « Privacy Shield » a vu le jour en 2016 s’efforçant lui aussi de répondre aux exigences de la CJUE et offrir une protection équivalente à celle présente dans l’Union européenne. Cependant, le 16 juillet 2020, l’arrêt « Shrems II » invalide l’accord « Privacy Shield » du fait que les lois américaines ne garantissaient pas un degré de protection équivalent au RGPD, notamment par les agences américaines de renseignement qui pouvaient avoir accès aux données des Européens au sein des entreprises sans que cette réglementation soit encadrée au strict nécessaire. Cette invalidation plongea les entreprises américaines et européennes dans une situation difficile, l’absence de décision d’adéquation créant une incertitude juridique. Cette absence de cadre légal a eu des conséquences, notamment par une décision de la CNIL sur l’outil Google Analytics où plusieurs entreprises ont été mises en demeure pour l’utilisation de cet outil, du fait que les données étaient transférées sur un cloud américain, rendant les données personnelles accessibles aux agences de renseignements. Les entreprises européennes ont donc du trouver des alternatives européennes en absence d’accord Outre-Atlantique.
Un décret se montrant novateur et respectueux de la législation européenne
Le contenu du décret fait suite à un accord de principe du 25 mars 2022 lors de la venue de la présidente de la Commission européenne Ursula Von der Leyen à la Maison-Blanche.
Ce texte a pour but de renforcer aux États-Unis les mesures visant à garantir la confidentialité et la protection des libertés civiles vis-à-vis des agences de surveillances américaines, notamment les données des Européens transférées ou hébergées aux États-Unis. Ainsi, les agences de surveillance comme la NSA ou la CIA pourront uniquement accéder à ces données dès lors que cet usage est nécessaire et proportionné à la protection de la sécurité du pays.
De plus pour éviter la foudre de la CJUE, ce décret prévoit un dispositif innovant. La mise en place de deux recours accessible aux citoyens européens devant un tribunal américain créé spécialement pour répondre à leurs demandes. De surcroît, tout citoyen européen pourra demander réparation dès lors que leurs données ont été collectées illégalement par les agences de renseignements américains, de plus les données pourront être modifiées ou supprimées.
Ce mécanisme relève en première instance auprès de l’officier chargé de la protection des libertés civiles qui appartient à la direction du renseignement américain. En cas de contestation de la décision, l’affaire est portée devant la Cour d’examen de la protection des données, une juridiction indépendante reliée au ministère de la Justice.
Ainsi, pour Bruxelles et Washington ce décret répond aux exigences de la Cour de justice de l’Union européenne comme en témoigne la présidente de Commission européenne: « Une avancée importante pour une meilleure protection des données pour les citoyens et plus de sécurité juridique pour les entreprises des deux cotés de l’Atlantique ! ». Du côté de la Maison-Blanche, la secrétaire américaine au commerce Gina Raimondo pense que « ces engagements répondent pleinement à la décision Shrems II de la Cour de justice de l’Union européenne et respectent le droit de l’Union européenne en matière de transfert de données personnelles ».
Des zones d’ombre… Qui devront être éclaircis devant la Cour de justice de l’Union européenne
La signature de ce décret présidentiel a tout de suite alarmé les défenseurs des libertés fondamentales notamment l’association NOYB avec à sa tête Maximilien Shrems.
Dans un article publié sur le site de l’association, Max Shrems expose que le décret ne répond pas aux exigences de la Cour de justice de l’Union européenne qui avait exigé une proportionnalité au sens de l’article 52 de la Charte des droits fondamentaux et l’accès à un recours judiciaire selon l’article 47 de ladite Charte. Il rappelle que la CJUE avait déclaré à deux reprises que les lois et la pratique de surveillance de masse n’étaient pas proportionnées au sens de l’article 52 de la Charte des droits fondamentaux. De surcroît une surveillance de masse avec des programmes comme « PRISM », et sans apporter aucune limite à cette surveillance, ne peut correspondre à l’interprétation européenne de proportionner.
“The EU and the US now agree on the use of the word ‘proportionate’ but seem to disagree on the meaning of it. In the end, the CJEU’s definition will prevail – likely killing any EU decision again. The European Commission is turning a blind eye on US law again and allowing the continued surveillance of Europeans.”
https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law
De plus, cette nouvelle Cour d’examen de la protection des données n’est pas en adéquation avec l’article 47 de la Charte des droits fondamentaux car elle relève du pouvoir exécutif. En effet il ne s’agit pas d’une Cour au sens juridique de ladite Charte ou bien de la Constitution américaine, selon Shrems on se rapprocherait d’un système de médiation et non d’un recours juridictionnel comme le souhaite la Cour de justice de l’Union européenne.
Enfin, ce mécanisme de recours soulève des difficultés, notamment comment être au courant que nos données ont été collectées par les agences de renseignements alors même que le Cloud Act interdit à toute entreprise de le notifier sauf cas précis.
Toutefois ce décret représente un premier pas vers un nouvel accord avec l’Union européenne, qui ravira les entreprises, cantonnées à effectuer des clauses contractuelles types (CCT) prévu à l’article 47 du RGPD depuis l’invalidation du « Privacy Shield ». Il restera à la Commission européenne de lancer un projet de décision d’adéquation et d’obtenir l’aval du comité européen de la protection des données.
Sources:
-First reaction: Executive Order on US Surveillance unlikely to satisfy EU law : https://noyb.eu/en/new-us-executive-order-unlikely-satisfy-eu-law
-Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities : https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
Guillaume Desgens-Pasanau « la protection des données personnelles », LexisNexis, 2018
Transfert des données personnelles : Joe Biden donne des gages aux Européens : https://www.leparisien.fr/high-tech/transfert-des-donnees-personnelles-joe-biden-donne-des-gages-aux-europeens-07-10-2022-2PFSTU2Y4FGZRKU54NSIA5MYJU.php
Accord de transfert de données entre l’Europe et les États-Unis : un abandon de notre souveraineté numérique ? : https://www.ege.fr/infoguerre/accord-de-transfert-de-donnees-entre-leurope-et-les-etats-unis-un-abandon-de-notre-souverainete-numerique