Un accord de principe UE-USA sur le transfert de données personnelles a été signé le 25 mars 2022.
L’encadrement des transferts de données hors EEE
En application de l’article 46 du RGPD, les flux de données transfrontières ne peuvent être réalisés que si une décision d’adéquation a reconnu que le pays tiers ou l’organisation internationale assure un niveau de protection adéquat.
A défaut de décision d’adéquation, les flux sont encadrés par des garanties appropriées listées :
- instrument juridiquement entre les autorités ou organismes publics ;
- règles d’entreprise contraignantes ou « Binding Corporate Rules » ;
- clauses types de protection des données de la Commission (CCT) ;
- clauses types de protection des données d’une autorité de contrôle approuvées par la Commission ;
- code de conduite approuvé ou un mécanisme de certification approuvé assorti d’un engagement.
Genèse de l’accord UE-USA sur le transfert de données personnelles
Le cadre légal des flux transfrontières de données vers les Etats-Unis a évolué avec la décision « Schrems II » de la CJUE du 16 juillet 2020 qui a :
- d’une part, invalidé en 2020 le Privacy Shield rendant caduque la décision d’adéquation pour les transferts de données transatlantiques,
- d’autre part, jugé que les instruments de transferts listés à l’article 46 du RGPD sont à eux seuls insuffisants pour encadrer les transferts.
En conséquence, en présence d’un flux vers les Etats-Unis, la présence de garanties appropriées ne peut suffire au transfert. Il faut démontrer la prise de mesures contractuelles, techniques et organisationnelles supplémentaires pour compléter efficacement les garanties de l’outil de transfert.
A ce jour aucune garantie n’a été considérée suffisante, notamment par la Cnil, lorsque les prestataires situés aux Etats-Unis (Microsoft, Google etc.) entrent dans le champ d’application des lois américaines. Or ces dernières permettent aux autorités publiques américaines d’accéder aux données transférées depuis l’Union européenne vers les Etats-Unis à des fins de surveillance.
Seule une décision d’adéquation permettrait dans ce contexte de sécuriser de manière pérenne les flux de données EU-US ; d’où l’attente avec impatience d’un nouvel accord UE-USA. L’enjeu est d’encadrer l’accès des services de renseignement américains aux données.
La signature d’un accord de principe UE-USA : les grandes lignes
A l’issue de plus d’une année de négociations entre l’Union européenne et les Etats-Unis, un accord de principe a été signé le 25 mars. Il définit les principes d’un nouveau cadre destiné à pallier les écueils soulevés par la décision « Schrems II » précitée.
Ce cadre est essentiel pour concilier tant la protection des droits et libertés des personnes concernées que l’économie numérique transatlantique à laquelle toutes les entreprises pourront prendre part (y compris les TPE et PME).
L’accord de principe UE-USA constitue un engagement sans précédent de la part des États-Unis. Ces derniers souhaitent renforcer la protection de la vie privée et des droits et libertés des personnes.
Les nouvelles garanties objets de l’accord de principe UE-USA permettent d’encadrer les activités de surveillance des services de renseignement américains.
Les services de renseignement américains devront ainsi démontrer que les activités de surveillance électronique sont nécessaires et proportionnées à la poursuite d’objectifs de sécurité nationale définis en amont.
Toujours dans cette perspective, il nécessitera un mécanisme de recours indépendant à deux niveaux dotés d’un pouvoir contraignant.
Les suites de l’accord de principe UE-USA
L’accord de principe UE-USA permettra d’aboutir à une nouvelle décision d’adéquation ; cette dernière constituant une base durable pour encadrer les flux de données personnelles entre les Etats-Unis et l’Union européenne.
Selon les termes employés par la Commission dans son communiqué du 25 mars 2022, cet accord « est une nouvelle démonstration de la force des relations entre les États-Unis et l’UE », réaffirmant sa volonté d’approfondir le partenariat entre l’Union européenne et les Etats-Unis « pour assurer à la fois la sécurité et le respect de la vie privée en permettant des opportunités économiques à nos entreprises et à nos citoyens ».
La décision d’adéquation qui devrait émerger de l’accord est l’instrument juridique optimal pour que les États-Unis et l’Union européenne coopèrent.
Les équipes du gouvernement américain et de la Commission européenne vont maintenant traduire cet accord en documents juridiques. Ces derniers feront par ailleurs l’objet d’une adoption de part et d’autre. Les engagements de l’accord feront ensuite l’objet d’un décret ; lequel constituera la base de l’évaluation de la Commission dans sa future décision d’adéquation.
Virginie Bensoussan-Brulé
Marion Catier
Lexing Contentieux numérique