Fini le casse-tête des transferts vers les US ? Cette nouvelle décision adoptée par la Commission européenne le 10 juillet 2023 permet de transférer librement les données aux Etats-Unis vers des entreprises auto-certifiées.
Le processus d'adoption du data privacy framework
Cette décision d’adéquation remplace le précédent accord, le Privacy shield, qui fut annulé par la Cour de justice de l’Union européenne le 16 juillet 2020 dans l’arrêt Schrems II.
L’arrêt Schrems II dénonçait le manque de garanties et de recours proposées par les Etats Unis aux résidents européens, qui voyaient leurs données être collectées et utilisées par les autorités américaines dans le cadre des activités de renseignement.
Suite à l'invalidation du Privacy Shield, le président américain Joe Biden conclut un décret présidentiel (EO 14086) renforçant les garanties contraignantes quant à l’utilisation et la collecte des données personnelles par les autorités de renseignement américaines. Désormais, ces dernières doivent assurer que leur collecte est « nécessaire et proportionnée » et pourront se faire contrôler grâce à un nouveau mécanisme de recours indépendant et impartial permettant aux résidents européens d’enfin bénéficier de recours contre toute collecte de données ne respectant pas leurs droits.
Cet accord sera réévalué par la Commission un an après son adoption et puis tous les 4 ans au maximum ultérieurement.
Que va instaurer cette nouvelle décision d’adéquation ?
Ce nouvel accord data privacy framework met fin à l’instabilité des transferts de données transatlantiques, en effet, tout transfert de données vers les Etats-Unis ne nécessite plus de garanties supplémentaires en matière de transfert de données. De plus, l’accord leur confère de nouveaux droits en cas de transferts aux Etats Unis, comme le droit à la rectification ou à la suppression de données jugées inexactes ou traitées illégalement.
L’accord confère également une certification aux entreprises américaines qui s’engagent à respecter les obligations de protection des données (limitation des finalités de traitement, minimisation de la conservation des données, sécurité des données, etc.). Le tout sera géré par le ministère américain du commerce qui donnera les accréditations. La Federal Trade Commission sera en charge de vérifier leur conformité sur le long terme.
Le grand ajout de cet accord est la présence d’un véritable organisme de recours ainsi que de garanties et des limitations quant à l’accès aux services de renseignement américains des données des résidents européens. Ces derniers verront leur collecte se faire limiter à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.
Les autorités américaines pourront, en cas de non-respect à ce principe, se faire contraindre par un mécanisme de recours indépendant composé d’une Cour chargée du contrôle de la protection des données. La mission de cette cour sera de s’occuper des réclamations et des recours concernant le traitement des données personnelles par les administrations américaines.
Le mécanisme de recours
Lorsqu'un ressortissant de l'UE veut procéder à une réclamation, il devra premièrement l’effectuer auprès de son autorité nationale de protection des données (par exemple, la CNIL en France). Celle-ci se fera ensuite transmettre aux Etats-Unis via le Comité européen de protection des données et examiner en premier recours par le « délégué à la protection des libertés civiles » de la communauté américaine du renseignement.
Par la suite, les personnes concernées pourront effectuer un second recours auprès de la Cour chargée du contrôle de la protection des données (DPRC). Cette cour est composée de membres extérieurs au gouvernement américain, ne pouvant être révoqués que sous un motif valable. Cette cour enquêtera sur la réclamation et pourra rendre des décisions correctives et contraignantes, comme la suppression des données. Un avocat spécial sera chargé de représenter les intérêts du plaignant auprès de cette cour.
L’accord garantissant que les Etats-Unis ont mis en place des mesures de protection des données suffisantes au regard du RGPD, cela facilite donc les transferts entre les Etats Unis et l’Europe et facilite l’utilisation des clauses contractuelles types ou des règles d’entreprises contraignantes (ou BCR). En effet, dans l'évaluation des garanties complémentaires apportées au transfert, cette décision d'adéquation permet de considérer que le niveau de protection des données est adéquat et qu'il apporte les garanties européennes essentielles pour assurer un niveau de protection équivalent au droit de l'UE.
Un nouvel accord déjà remis en cause
Avant même l’adoption de cette décision d’adéquation, de nombreuses critiques avaient déjà vu le jour.
En effet, selon l’association None Of Your Business (NOYB), ce nouveau cadre transatlantique ne serait qu’une pâle copie du précédent accord le Privacy Shield. Elle dénonce que les mécanismes instaurés par les Etats-Unis seraient insuffisants et ne seraient que des coquilles vides n’assurant en rien les droits des citoyens européens.
Selon elle, l’ajout du mot « proportionné » dans le décret ne le serait que du point de vue de l’autorité américaine. C’est-à-dire que la surveillance permise par la loi FISA 702 est « proportionnée » aux yeux du gouvernement américain, laissant donc les autorités américaines et européennes avec une vision différente du terme « proportionné ».
Dans un second temps, NOYB critique le nouveau mécanisme de recours. Ils déclarent que le citoyen européen ne possède aucune interaction directe avec la nouvelle cour introduite, ne pouvant effectivement passer que par son autorité de protection des données nationale. Elle dénonce aussi que la Cour n’est pas un vrai tribunal, mais un organe exécutif indépendant. L’association rajoute que le jugement de la Cour est déjà connu à l’avance, celle-ci étant indiquée par le décret 14086, ce problème ne permettant donc pas aux ressortissants européens de voir leurs plaintes admises.
Enfin, NOYB dénonce le fait que les Etats-Unis n’aient pas modifié la loi FISA 702, en y ajoutant des garanties pour les citoyens européens, n’intégrant pas alors la violation de leur droit à la vie privée dans le champ d’action du 4e amendement, et donc, contre tout abus de la part des autorités américaines.
L’association compte bien effectuer un recours devant la CJUE dans les mois qui suivent, une fois que l’accord mis en place par les entreprises. Avec l’objectif que le Cour de justice de l’Union européenne ait accès au recours dès la fin de l’année, pour ensuite qu’elle rende une décision « Schrems III » d’ici 2024 ou 2025.
Quels sont les transferts concernés ?
Les transferts concernent toutes les données relevant du RGPD. Il n'y a pas de limitation à certains types de données. Cela inclut les données commerciales et non commerciales (tel que les données relatives aux ressources humaines). Cela dépend de la certification des organismes et du respect de certaines conditions pour les données relatives aux ressources humaines. Les données relevant de la directive police justice ne sont pas concernées par cette décision mais relèvent de l'accord du 10 décembre 2016.
Faut-il transférer ou ne pas transférer vers les Etats-Unis ?
En l'état actuel du droit, les transferts vers les Etats-Unis sont possibles et les démarches simplifiées. Il est délicat d'anticiper une décision de la Cour de justice de l'UE et l'annulation de la décision. Il est donc tout à fait possible d'utiliser ce nouveau cadre légal.
Les autorités européennes de protection des données ne déconseillent pas l'utilisation de ce nouvel outil (voir le communiqué de la CNIL et de l'EDPB)
Il faut toutefois s'assurer que le transfert est réalisé vers un organisme destinataire (c'est à dire un autre responsable de traitement ou un sous-traitant) qui soit inscrit sur la liste des organismes certifiés. Cette liste est accessible sur le site dédié au nouveau cadre UE-US.
Dans tous les cas, il revient aux organismes qui mettent en place des transferts de les identifier et de les suivre. Ce suivi peut être réalisé efficacement à travers le registre des traitements.
Cela n'exclut pas de respecter l'ensemble des règles du RGPD dans les traitements de données. En particulier, l'utilisation de sous-traitants doit respecter les conditions de l'article 28 du RGPD. Le contrat doit inclure les clauses de protection des données personnelles. Le nouveau cadre de protection des données impose aux entreprises américaines certifiées le respect de nombreux principes qui peuvent être utilement rappelés dans le contrat de sous-traitance.
Ainsi, il est toujours recommandé de faire un TIA en prenant en compte cette décision d'adéquation.
Comment Dastra vous aide ?
Dastra vous permet d'identifier facilement les transferts de données vers les USA, de générer des clauses contractuelles types avec vos sous-traitants, de réaliser des TIA. Dastra inclura la liste des entreprises certifiées directement dans les référentiels.
➡️Découvrez comment Dastra peut vous aider dans votre conformité.