Dans l’attente de la traduction officielle, nous partageons une traduction informelle des « Questions-Réponses sur le nouvel accord cadre transatlantique de protection des données personnelles » qui a vocation à remplacer le défunt et parfois regretté Privacy Shield, en vue de faciliter le transfert de données personnelles vers les Etats-Unis.

Le 25 mars 2022, la présidente von der Leyen et le président Biden ont annoncé qu’ils étaient parvenus à un accord de principe sur un nouveau cadre transatlantique de protection des données personnelles. Ce cadre favorisera les flux de données transatlantiques et répondra aux préoccupations soulevées par la Cour de justice de l’Union européenne dans l’arrêt Schrems II, de juillet 2020. Par la suite, les équipes de l’UE et des États-Unis ont travaillé pendant de nombreux mois pour finaliser les détails de cet accord et le traduire en un cadre juridique.

Le 7 octobre, le président Biden a signé un Executive Order (décret) sur le « renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis » (Enhancing Safeguards for United States Signals Intelligence Activities). Avec les règlements publiés par l’Attorney General, l’Executive Order met en œuvre dans la législation américaine l’accord de principe annoncé en mars. L’Executive Order introduit de nouvelles garanties contraignantes pour répondre à tous les points soulevés par la Cour de justice de l’UE, en limitant l’accès des services de renseignement américains aux données de l’UE et en créant une Cour de révision de la protection des données.

Sur cette base, la Commission européenne va maintenant préparer un projet de décision d’adéquation et lancer sa procédure d’adoption.

1. En quoi consiste le nouvel Executive Order (décret) ?

L’Executive Order, signé par le président Biden le 7 octobre et les règlements l’accompagnant, mettent en œuvre les engagements pris par les États-Unis dans l’accord de principe annoncé en mars.

Pour les résidents européens dont les données personnelles sont transférées aux États-Unis, le nouvel Executive Order prévoit :

  • Des garanties contraignantes qui limitent l’accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
  • La mise en place d’un mécanisme de recours indépendant et impartial, qui comprend une nouvelle « Data Protection Review Court » ou « DPRC » (Cour d’examen de la protection des données), pour examiner et résoudre les plaintes des résidents de l’UE concernant l’accès à leurs données par les autorités de sécurité nationale américaines.

L’Executive Order exige des agences de renseignement américaines qu’elles revoient leurs politiques et procédures afin de mettre en œuvre ces nouvelles garanties.

Il s’agit d’améliorations importantes par rapport au Privacy Shield (bouclier de protection de la vie privée). Les nouvelles garanties dans le domaine de l’accès des gouvernements aux données viendront compléter les obligations auxquelles les entreprises américaines qui importent des données de l’UE devront souscrire.

2. Quelles sont les prochaines étapes du processus ?

Avec l’adoption de l’Executive Order et ses règlements d’accompagnement, la Commission peut maintenant passer aux étapes suivantes, qui consistent à proposer un projet de décision d’adéquation et à lancer sa procédure d’adoption.

La procédure d’adoption d’une décision d’adéquation comporte différentes étapes : l’obtention d’un avis du Comité européen de la protection des données (en anglais « EDPB ») et le feu vert d’un comité composé de représentants des États membres de l’UE. En outre, le Parlement européen dispose d’un droit de regard sur les décisions d’adéquation.

Ce n’est qu’après cela que la Commission européenne pourra adopter la décision finale d’adéquation concernant les États-Unis. À partir de ce moment, les données pourront circuler librement et en toute sécurité entre l’UE et les entreprises américaines certifiées par le « Department of Commerce » (ministère du commerce) au titre du nouveau cadre. Les entreprises américaines pourront adhérer à ce cadre en s’engageant à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée.

3. En quoi le nouveau mécanisme de recours est-il différent de l’ancien médiateur du bouclier de protection de la vie privée ?

Le nouvel Executive Order et les règlements l’accompagnant établissent un nouveau mécanisme de recours à deux niveaux, doté d’une autorité indépendante et au pouvoir coercitif.

Dans le cadre du premier niveau, les citoyens de l’UE pourront déposer une plainte auprès du « Civil Liberties Protection Officer » (Responsable de la Protection des Libertés Civiles) de la communauté du renseignement américaine. Cette personne est chargée de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignement américaines.

Au deuxième niveau, les particuliers auront la possibilité de faire appel de la décision du Civil Liberties Protection Officer devant la Data Protection Review Court nouvellement créée. La Cour sera composée de membres choisis en dehors du gouvernement américain, nommés sur la base de qualifications spécifiques, ne pouvant être démis de leurs fonctions que pour des motifs graves (tels que la condamnation pour un crime ou l’inaptitude mentale ou physique à l’exécution des tâches) et ne pouvant recevoir d’instructions du gouvernement. La Data Protection Review Court  sera habilitée à enquêter sur les plaintes déposées par des personnes de l’UE, y compris pour obtenir des informations pertinentes auprès des agences de renseignement, et pourra prendre des décisions correctives. Par exemple, si la Data Protection Review Court constate que des données ont été collectées en violation des garanties prévues par l’Executive Order, elle pourra ordonner la suppression de ces données.

Pour renforcer la procédure, la Cour sélectionnera dans chaque cas un « special advocat » (nota : avocat qui représente une personne n’étant pas autorisée à avoir accès aux informations) ayant l’expérience requise pour l’assister, qui veillera à ce que les intérêts du plaignant soient représentés devant la Cour et que celle-ci soit bien informée des aspects factuels et juridiques de l’affaire. Cela permettra de s’assurer que les deux parties sont représentées et d’introduire davantage de garanties en termes de procès équitable, de réparation et de procédure régulière.

Il s’agit d’améliorations importantes par rapport au mécanisme qui existait dans le cadre du Privacy Shield. À l’époque, les particuliers pouvaient s’adresser à un médiateur, qui faisait partie du département d’État américain et ne disposait pas des mêmes pouvoirs d’enquête ou pouvoir coercitif de décision .

4. Pourquoi la Commission pense-t-elle que la Cour de justice de l’UE n’invalidera pas à nouveau le cadre ?

L’objectif de la Commission dans ces négociations a été de répondre aux préoccupations soulevées par la Cour de justice de l’UE dans l’arrêt Schrems II et de fournir une base juridique durable et fiable pour les flux de données transatlantiques. Cela se reflète dans les garanties incluses dans l’Executive Order, tant en ce qui concerne la limitation substantielle de l’accès des autorités de sécurité nationale américaines aux données (nécessité et proportionnalité) que la mise en place du nouveau mécanisme de recours.

5. Quelles sont les options dont disposent les entreprises dans l’intervalle ?

Il est important de rappeler qu’une décision d’adéquation n’est pas le seul outil pour les transferts internationaux.

Les clauses contractuelles types que les entreprises peuvent introduire dans leurs contrats commerciaux, constituent le mécanisme le plus utilisé pour transférer des données depuis l’UE. L’année dernière, la Commission a adopté des « clauses contractuelles types » modernisées pour faciliter leur utilisation, notamment à la lumière des exigences fixées par la Cour de justice dans l’arrêt Schrems II. Des conseils pratiques destinés aux entreprises qui s’appuient sur les clauses contractuelles types pour transférer des données sont également disponibles.

Toutes les garanties dont la Commission a convenu avec le gouvernement américain dans le domaine de la sécurité nationale (y compris le mécanisme de recours) seront disponibles pour tous les transferts vers les États-Unis en vertu du RGPD, quel que soit l’outil de transfert utilisé.

Nous vous tiendrons informés de l’avancement de la procédure sur cette question cruciale pour les organisations partageant des données avec les Etats-Unis