(Les passages mis à jour apparaissent ci-dessous en surbrillance)
Traduction (avec quelques ajouts) par Stephanie Faber de l’article en anglais coécrit par Diletta De Cicco, Malcolm Dowden, Stéphanie Faber, Alan Friel, Charles Helleputte, Julia Jacobson, Sasha Kiosse and David Naylor.
Le 10 juillet 2023, la Commission européenne a officiellement décidé de l’adéquation du Cadre de Protection des données entre l’UE et les États-Unis (Data Privacy Framework ou « DPF » en anglais) (le « Cadre de Protection »). La décision d’adéquation (et la documentation qui l’accompagne, y compris une FAQ) apporte de bonnes nouvelles : pour les participants certifiés, les données personnelles peuvent circuler entre l’Espace économique européen (l’« EEE ») et les États-Unis sans qu’il soit nécessaire d’appliquer des garanties supplémentaires, telles que les clauses contractuelles types, et ou de procéder à l’évaluation des risques du transfert.
La CNIL met régulièrement son site à jour sur cette question et a publié une première FAQ le 13 juillet.
Pour bénéficier du Cadre de Protection, les importateurs de données américains éligibles doivent procéder à leur certification.
Le Cadre de Protection, un Privacy Shield rénové ?
Le Cadre de Protection remplace deux cadres précédents (le Safe Harbor, et son successeur, le Privacy Shield) en vertu desquels certaines organisations américaines pouvaient certifier leur conformité audit cadre, dans le but de recevoir des données personnelles de l’EEE. Ces deux cadres ont bénéficié successivement d’une décision d’adéquation de la Commission européenne jusqu’à que chacune de ces décisions soit, tour à tour, invalidée par la Cour de justice de l’Union européenne (la CJUE), dans les arrêts Schrems I (en 2015) et Schrems II (de juillet 2020).
Le processus de certification du Cadre de Protection comprendra de nombreuses obligations et exigences similaires à celles du Privacy Shield. Une des différences qui nécessite une mise à jour des notes d’information et politiques, résulte du fait que le nouveau cadre se réfère dorénavant au RGPD, alors que le Privacy Shield se référait à la Directive 95/46.
En quoi est-ce différent cette fois-ci ?
Un élément clé de l’évaluation par l’UE de la protection offerte par le Cadre de Protection est l’Executive Order (décret) du président Biden sur le « renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis » (l’« EO 14086 »), qui est complété par un règlement sur la « Data Protection Review Court » (Cour d’examen de la protection des données) publié par le procureur général (Attorney General) des États-Unis. Ces deux textes visent à répondre aux préoccupations relatives à la surveillance numérique de masse exercée par les services de police et de renseignement américains, qui ont étayé l’arrêt de la CJUE dans l’affaire Schrems II.
Votre importateur de données américain figure-t-il sur la liste du Cadre de Protection ?
Le Cadre de Protection s’applique à toute organisation américaine qui :
- s’engage publiquement à respecter les « Principes », à savoir ceux prévus dans le Cadre de Protection, ainsi que les principes supplémentaires publiés par le ministère américain du commerce (le « DoC »); et
- est soumise aux pouvoirs d’enquête et d’exécution de la Commission fédérale du commerce (Federal Trade Commission ou « FTC ») ou du ministère américain des transports (le « DoT »).
Les organisations ne pourront pas se contenter de s’auto-certifier conformes. Le considérant 49 de la décision d’adéquation précise qu’une organisation qui procède à la certification pour la première fois n’aura pas le droit de faire publiquement mention de son adhésion aux Principes « tant que le DoC n’aura pas déterminé que la demande de certification de l’organisation est complète et qu’il ne l’aura pas ajouté à la liste du Cadre de Protection ».
En tant qu’exportateur de données, il vous est indispensable de vérifier si l’importateur se trouve sur la liste du Cadre de Protection et de procéder à cette vérification régulièrement, les organisations devant renouveler leur certification annuellement.
Dates clés pour les importateurs de données américains
Le site web du Cadre de Protection (https://www.dataprivacyframework.gov) est opérationnel depuis le 17 juillet 2023.
Le DoC a publié une liste de dates clés et de points d’action pour les organisations américaines qui souhaitent bénéficier du nouveau cadre :
- Les organisations actuellement certifiées dans le cadre du Privacy Shield (qui existe toujours, même en l’absence d’adéquation, et s’applique aux entités qui ont choisi de continuer de s’y conformer) doivent d’ici au 10 octobre 2023 procéder à une mise en conformité au nouveau Cadre de Protection (notamment en mettant à jour leurs politiques et notes d’information). Elles n’ont pas besoin de procéder à des formalités supplémentaires et peuvent se prévaloir immédiatement du Cadre de Protection. Elles se trouvent d’ores et déjà sur la Liste du Cadre de Protection ; A l’inverse, Les organisations qui ne souhaitent pas adhérer au Cadre de Protection doivent s’en retirer officiellement ;
- Les autres organisations américaines peuvent dorénavant procéder à une première certification sur la base des informations contenues sur le site web du Cadre de Protection.
Application de la loi : les rôles du DoC et de la FTC
Le DoC veillera au respect des Principes par les organisations au moyen de différents mécanismes. Il effectuera notamment des « contrôles ponctuels » de conformité auprès d’organisations choisies de manière aléatoire.
Les organisations qui ne renouvellent pas leur certification ou qui ne respectent pas les Principes seront retirées de la liste du Cadre de Protection et devront restituer ou supprimer les données personnelles reçues dans ce cadre.
La FTC veillera elle aussi au respect des Principes. Parmi les moyens d’action de la FTC figurent des amendes pouvant aller jusqu’à 50.120 dollars par infraction, ou 50.120 dollars par jour en cas d’infraction continue, ainsi que des injonctions.
Transferts ultérieurs dans le cadre du Cadre de Protection
Le transfert ultérieur de données personnelles ne peut avoir lieu que dans les cas suivants :
- à des fins limitées et précises ;
- sur la base d’un contrat entre l’organisation certifiée et le tiers (ou d’un accord comparable au sein d’un groupe) ; et
- seulement si ce contrat exige du tiers qu’il fournisse le même niveau de protection que celui garanti par les Principes.
Des protections supplémentaires s’appliquent en cas de transfert ultérieur à un sous-traitant. Dans ce cas, l’organisation américaine doit s’assurer que le sous-traitant n’agit que sur ses instructions et doit prendre des mesures raisonnables et appropriées aux fins de :
- veiller à ce que les données personnelles soient traitées d’une manière compatible avec les obligations de l’organisation en vertu des Principes ; et
- faire cesser les traitements non autorisés et y remédier, sur notification.
Le DoC peut exiger de l’importateur américain qu’il fournisse un résumé ou une copie des dispositions relatives à la protection des données de son contrat avec le sous-traitant. Lorsque des problèmes de conformité surviennent dans une chaîne de sous-traitance, l’organisation agissant en tant que responsable du traitement sera réputée responsable, si elle peut apporter la preuve du contraire.
Mécanisme de recours
L’un des éléments clés de la décision de la CJUE ayant invalidé le Privacy Shield était l’absence d’un mécanisme de recours efficace pour les personnes dont les données personnelles sont transférées aux États-Unis. En d’autres termes, jusqu’ici les ressortissants de l’EEE ne disposaient pas d’un moyen efficace de demander réparation s’ils estimaient être illégalement visés par certaines lois américaines, relatives à la sécurité nationale.
Pour obtenir l’approbation du Cadre de Protection par l’UE, le gouvernement américain a mis en place un mécanisme de recours à deux niveaux, doté d’une autorité indépendante et au pouvoir coercitif, pour traiter et résoudre les plaintes de toute personne dont les données ont été transférées de l’EEE vers des organisations aux États-Unis, concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines.
Les particuliers peuvent déposer une plainte auprès de leur autorité nationale de protection des données. Les plaintes seront examinées par le « Civil Liberties Protection Officer » (Responsable de la Protection des Libertés Civiles) de la communauté américaine du renseignement. Cette personne est chargée de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignement américaines. Au deuxième niveau, les particuliers auront la possibilité de faire appel de la décision du Civil Liberties Protection Officer devant la Data Protection Review Court nouvellement créée. La Data Protection Review Court est habilité à enquêter sur les plaintes déposées par les citoyens de l’UE, notamment pour obtenir des informations pertinentes auprès des services de renseignement, et à prendre des décisions correctives. Pour renforcer la procédure, la Cour sélectionnera dans chaque cas un « special advocat » (nota : avocat qui représente une personne n’étant pas autorisée à avoir accès aux informations) ayant l’expérience requise pour l’assister, qui veillera à ce que les intérêts du plaignant soient représentés devant la Cour et que celle-ci soit bien informée des aspects factuels et juridiques de l’affaire.
Recours en cas de non-respect des Principes
La décision d’adéquation traite de voies de recours supplémentaires en cas de non-respect des Principes par les organisations du Cadre De Protection.
Par exemple, le considérant (69) souligne que les personnes concernées doivent pouvoir engager des actions directement auprès des organisations du Cadre de Protection. Pour faciliter la résolution des litiges, l’organisation doit mettre en place un mécanisme de recours efficace pour traiter des réclamations. Elle doit notamment désigner un organisme indépendant de règlement des litiges (aux États-Unis ou dans l’UE) ce que le DoC peut vérifier. La note d’information sur le traitement de données doit donc préciser de façon visible et claire à qui les personnes concernées peuvent s’adresser (en interne ou externe), pour le traitement des réclamations ainsi que l’organisme indépendant de règlement des litiges. Dès réception d’une réclamation, directement d’une personne concernée ou indirectement par le biais du DoC sur renvoi d’une autorité de protection des données, l’organisation doit fournir une réponse à la personne concernée dans un délai de 45 jours.
De même, les organisations sont tenues de répondre rapidement aux enquêtes et autres demandes d’information émanant du DoC ou d’une autorité nationale de l’UE (lorsque l’organisation s’est engagée à coopérer avec celles-ci).
Le Cadre de Protection va-t-il durer ? Pourrait-il y avoir un Schrems III ?
L’UE et les États-Unis ont déployé des efforts considérables pour mettre en place un cadre de transfert renforcé. Les deux partenaires ont exprimé leur confiance dans la pérennité du régime. Toutefois, des voix se sont déjà fait entendre pour contester la validité et l’efficacité du Cadre de Protection.
Les critiques soulignent que les personnes concernées n’auront aucune interaction directe avec la Data Protection Review Court et que le résultat de son examen sera une simple déclaration selon laquelle « sans confirmer ou infirmer que le plaignant a fait l’objet d’activités de renseignement […], soit l’examen n’a pas permis d’identifier des violations couvertes, soit que le Civil Liberties Protection Officer [..] a émis une décision exigeant des mesures correctives appropriées ». Il reste à voir si la CJUE accepterait de considérer que ceci constitue bien un « droit à un recours effectif et à accéder à un tribunal impartial » au titre de l’article 47 de la Charte des droits fondamentaux de l’UE. En outre, les associations de défense des droits affirment que malgré son nom, la Data Protection Review Court ne peut pas être légitimement assimilée à une juridiction.
Bien qu’une nouvelle contestation soit probable, l’issue est à ce jour imprévisible. Pour l’instant, la décision d’adéquation soulage de façon significative les organisations dont les activités dépendent ou impliquent des transferts de données personnelles de l’EEE vers les États-Unis.
En tout état de cause, il reste utile de garder des clauses contractuelle types en réserve, comme option par défaut en cas de nouvelle invalidation.
N’oubliez pas la question de l’application du RGPD hors de l’UE
Le considérant (8) de la décision d’adéquation précise que la certification de conformité par une organisation au Cadre de Protection, n’affecte pas l’application directe du RGPD à cette même organisation si les conditions de l’article 3 RGPD sont remplies.
Il reste donc essentiel de déterminer si le destinataire américain est ou non directement soumis au RGPD. Pour rappel, en application de l’article 3 du RGPD, une organisation américaine peut être directement soumise au RGPD pour une partie de ses activités :
- selon le critère de l’établissement, lorsque l’organisation américaine dispose d’établissement dans l’EEE ou lorsqu’elle opère dans l’EEE dans le cadre d’ « accords contractuels stables », par exemple avec des représentants commerciaux ; ou
- selon le critère du ciblage, lorsque l’organisation américaine offre des biens ou des services à des particuliers dans l’EEE ou suit le comportement de particuliers dans l’EEE.
Quid des transferts en provenance du Royaume-Uni ou de la Suisse ?
Le Royaume-Uni, a lui, aussi entamé des négociations avec les États-Unis depuis un certain temps pour une Extension à son profit du Cadre de Protection entre l’UE et les Etats-Unis. Il semble très probable qu’elles aboutissent à une décision d’adéquation par le Royaume-Uni en faveur des États-Unis.
Le DoC anticipe déjà l’adoption prochaine, en autorisant les organisations éligibles aux États-Unis qui souhaitent auto-certifier leur conformité à le faire à partir du 17 juillet pour les transferts venant du Royaume-Uni (et Gibraltar). Pour ce faire, il leur sera en toute état de cause nécessaire d’adhérer au Cadre de Protection de l’UE. En toute logique, pour accueillir des transferts de données personnelles du Royaume-Uni (et de Gibraltar), on ne pourra pas se prévaloir de l’Extension avant l’entrée en vigueur de la décision d’adéquation par le Royaume-Uni.
En attendant, les transferts entre le Royaume-Uni et les États-Unis continuent de nécessiter l’utilisation de « garanties appropriées » telles que l’accord international de transfert de données (IDTA) approuvé par l’ICO et l’accord de transfert de données (TRA).
Comme pour le Privacy Shield, la Suisse a, elle aussi, conclu un Cadre de Protection Suisse- Etats Unis. Il sera effectif de la même façon et aux mêmes dates que le cadre de l’UE en ce qui concerne la procédure de certification, mais les transferts à partir de la Suisse ne pourront se faire sur ce fondement qu’après que la Suisse aura décidé de l’adéquation, ce qui n’est pas encore le cas à la date de rédaction de cet article.
La décision d’adéquation de l’UE affectera-t-elle les transferts en dehors du Cadre de Protection ?
La décision de la Commission européenne n’est pas une décision d’adéquation en faveur des États-Unis dans leur ensemble, ni d’un État américain en particulier. Il s’agit en fait d’un cadre strictement limité qui n’est applicable qu’aux organisations américaines qui s’engagent publiquement à respecter les Principes et qui sont inscrites sur la liste officielle du Cadre de Protection (pendant le temps où elles s’y trouvent). Comme dans le cas du Privacy Shield, certains importateurs de données ne pourront pas être certifiés, car ils ne remplissent pas les conditions de certification, y compris des conditions liées à leur secteur d’activité.
Tous les autres transferts de données personnelles vers les États-Unis qui relèvent de l’article 44 du RGPD en tant que « transferts vers des pays tiers » restent soumis à l’exigence de « garanties appropriées » en vertu de l’article 46 du RGPD. Il s’agit notamment des transferts vers des organisations américaines non-certifiées conformes au Cadre de Protection et des transferts ultérieurs par des organisations certifiées, que ce soit vers des organisations américaines non-certifiées ou vers des destinataires dans d’autres pays qui ne bénéficient pas d’une décision d’adéquation. Dans ces cas, les garanties appropriées seront généralement des clauses contractuelles types ou (occasionnellement) des règles d’entreprise contraignantes (BCR) pour les transferts intragroupes, plus des mesures supplémentaires telles que le chiffrement au repos et en transit.
Il reste à voir si le fait que le gouvernement américain ait répondu aux préoccupations soulevées dans l’affaire Schrems II, et l’adoption de la décision d’adéquation par la Commission européenne à la lumière de ces préoccupations, profiteront aux organisations de l’EEE qui effectuent des transferts vers des entités non certifiées aux États-Unis, notamment en facilitant l’évaluation des risques du transfert. Il est à noter que la CNIL, sur la question de l’impact pour les transferts utilisant d’autres outils, répond « Les garanties mises en place par le gouvernement étatsunien dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s’appliquent à tous les transferts de données effectués par des entités publiques ou privées soumises au RGPD vers des entreprises situées aux États-Unis. […] quel que soit l’outil de transfert utilisé (clauses contractuelles types ou règles d’entreprise contraignantes par exemple). »
Prochaines étapes
Notre équipe spécialisée dans la protection des données, la cybersécurité et les actifs numériques continuera de vous informer sur cette évolution passionnante et la manière de tirer parti du Cadre De Protection. En attendant, pour plus d’informations, contactez l’un des auteurs ou l’associé de Squire Patton Boggs avec lequel vous êtes habituellement en relation.