Accord entre l’Union européenne et les États-Unis sur le transfert de données : jamais deux sans trois ?

accord union européenne et états unis sur les transferts de données

Le 7 octobre 2022, le président des États-Unis (EU) a signé un décret exécutif contenant de nouvelles conditions de transfert des données à caractère personnel entre les États-Unis et l’Union européenne (UE) : les différents points soulevés par la Cour de Justice de l’Union européenne (CJUE) dans sa décision d’invalidation de l’accord précédent (arrêt Schrems II) ont été étudiés et intégrés dans les engagements contenus au sein de ce décret. Cette nouvelle étape franchie par les États-Unis dans le renforcement de la protection des données met une nouvelle fois en lumière l’extraterritorialité et l’importance du Règlement Général sur la Protection des Données (RGPD) dans ce marché de la donnée.

L’entrée en application du RGPD en mai 2018 a fait évoluer la procédure des transferts internationaux de données en renforçant les exigences de protection. En effet, ce règlement impose que la protection apportée aux données au sein de l’Union européenne soit maintenue lors des transferts y compris à l’extérieur de l’Union européenne. De ce fait, si cette protection n’est pas respectée, le transfert de ces données est, soit interdit, soit impose une procédure beaucoup plus lourde. Pour faciliter ces transferts, certains États ont obtenu de la part de la Commission européenne une décision d’adéquation.

Cette décision d’adéquation permet, après étude par la Commission, de considérer que le niveau de protection accordé aux données dans ces États est de même niveau que celui exigé dans l’UE. Dès lors que ce niveau est reconnu, les transferts de données sont aussi simples que ceux réalisés au sein de l’UE. Parmi les États concernés par ces décisions, les États-Unis sont les seuls à avoir un tel historique puisque deux accords ont été remis en cause et invalidés par la Cour de Justice de l’Union européenne. Toutefois, au regard de l’enjeu lié à ces transferts, un nouvel accord espéré durable est en cours de rédaction. Pour comprendre les spécificités et les enjeux de cet accord, il est indispensable de revenir sur l’historique des relations entre les États-Unis et l’Union européenne en la matière (1ère partie), avant d’aborder l’avenir de celles-ci dans une seconde partie.

Sommaire

1. Du Safe Harbor au Privacy Shield…
2. … vers un nouvel accord controversé ?
Conclusion

1. Du Safe Harbor au Privacy Shield…

transfert de donnees etats unis europe

a) Le Safe Harbor : le premier accord en la matière avec un État tiers

Le premier accord conclu entre l’Union européenne et les États-Unis remonte à 2001. Le Safe Harbor (sphère de sécurité) était fondé majoritairement sur les principes contenus dans la directive 95/46/CE, ancêtre du RGPD. Cet accord avait donc pour objectif de faciliter la transmission des données personnelles provenant de l’UE vers les États-Unis. Les sociétés (hors assurances et banques) qui déclaraient leur adhésion à cet accord s’engageaient à respecter les principes contenus dans celui-ci. Dès lors, elles étaient considérées comme des sociétés offrant une protection suffisante au regard de la directive. Cet engagement déclenchait alors une simplicité des transferts entre l’UE et les EU.

Toutefois, la CJUE a posé les premières limites de cet accord dans un arrêt du 6 octobre 2015, dit arrêt Schrems I puisqu’elle a alors considéré que le niveau de protection exigé par l’accord ne correspondait pas aux droits contenus dans les articles 7 et 8 de la Charte européenne des Droits Fondamentaux (droit au respect de la vie privée et familiale et protection des données à caractère personnel). Elle considérait également que le droit de l’Union européenne s’opposait à ce que les données personnelles puissent être divulguées à des fins d’intérêt public d’une manière générale et inconditionnelle. Cette décision fait suite aux révélations d’Edward Snowden en 2013 : un lanceur d’alerte américain ayant dénoncé un traitement injustifié de masse de données personnelles par les États-Unis. L’accord a donc été invalidé par la Cour quatorze ans après son entrée en vigueur.

b) Le Privacy Shield : un accord contesté mais instauré

Un nouvel accord a rapidement été conclu le 12 juillet 2016, au regard des enjeux de cette relation. Le Privacy Shield (bouclier de protection UE/EU), qui conserve la même structure que le Safe Harbor, a été très critiqué par le G29 (ancêtre du Comité européen de la protection des données ou CEPD) avant sa signature mais cela n’a pas empêché son adoption : beaucoup d’engagements sur le respect des garanties sont uniquement déclaratifs et ne permettent alors pas d’exclure que des données soient collectées indistinctement à grande échelle par les autorités américaines.

Dans son arrêt du 16 juillet 2020, la CJUE a invalidé l’accord en reprenant en partie l’avis rendu par le G29. La Cour fonde sa décision sur plusieurs points :

  • la protection des données à caractère personnel est limitée et ces données ne sont pas encadrées pour répondre aux exigences équivalentes à celles requises par le principe de proportionnalité en droit de l’UE. En l’espèce, les programmes de surveillance fondés sur cette réglementation n’étaient pas limités au strict nécessaire.
  • le mécanisme de médiation instauré ne fournit pas aux personnes concernées une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l’UE. En l’espèce, les États-Unis ne garantissaient pas l’indépendance du médiateur quant à l’adoption de décisions contraignantes à l’égard des services de renseignements américains.
  • aucune garantie n’a été prise pour que les personnes concernées disposent de droits opposables aux autorités américaines devant les tribunaux.

L’invalidation de ce Privacy Shield n’est également pas surprenante au regard des volontés américaines d’intégrer le marché de la donnée en tant que leader et donc d’imposer une extraterritorialité législative en la matière.

En effet, lorsque le RGPD est entré en vigueur en 2016, les États-Unis se sont empressés de compléter le Stored Communication Act* en adoptant un nouveau texte : le Cloud Act. Celui-ci était appliqué conjointement au Privacy Shield et permettait de contourner les différentes règles plus strictes en matière de protection des données qui allaient entrer en application avec le RGPD. Ce Cloud Act facilite alors l’obtention, par les instances judiciaires des EU, de données de communication stockées à l’étranger. Aussi, il permet d’atteindre les entreprises qui ont au moins une filiale sur le territoire américain ou les entreprises qui ont le marché américain comme territoire d’activité.

L’Union européenne ne pouvant pas lutter contre l’ensemble de ces ingérences américaines, elle va en faire une source d’inspiration. En effet, elle travaille depuis le 17 avril 2018 sur un projet de paquet législatif « E-evidence » qui prévoit notamment la mise en place d’un système d’injonctions européennes similaires aux injonctions prévues dans le Cloud Act ainsi qu’une obligation de désignation de représentants légaux pour les personnes morales étrangères à l’UE.

Par ailleurs, l’Union européenne va également s’inspirer du modèle états-unien et de sa force d’imposition législative dans les accords qu’elle conclue avec les États tiers. En effet, en tant que première puissance commerciale mondiale, elle impose sa vision de la protection des données lors de la négociations de ces accords. Dès lors, si un État tiers souhaite travailler sur le marché du numérique européen, il a l’obligation d’atteindre le niveau de protection des données exigée par l’UE, qui sera reconnu et officialisé par une décision d’adéquation de la Commission.

La CJUE ayant invalidé cet accord avec les États-Unis, les transferts entre les deux puissances sont donc perturbés et ralentis. Le droit international prend alors le relai en la matière.

2. … vers un nouvel accord controversé ?

a) La conclusion d’un accord de principe

En attendant la mise en place d’un nouvel accord, l’ensemble des transferts aux États-Unis sont interdits s’il n’y a pas de procédure particulière mise en place pour la protection de ces données, notamment via des clauses contractuelles types de la Commission (CCT). Ces clauses, prévues par le droit international, imposent une analyse poussée de l’ensemble des mesures mises en place pour assurer la sécurité lors des transferts de données. De cette analyse découle une conclusion qui détermine si les transferts sont possibles ou non.

L’enjeu financier d’un nouvel accord avec les États-Unis est donc conséquent puisqu’il est aujourd’hui chiffré à environ 7,1 milliards de dollars. Cela explique en partie la volonté mutuelle de travailler rapidement sur un nouvel accord dès l’annonce de l’invalidation du Privacy Shield par la CJUE le 16 juillet 2020.

Au regard de la quantité de transferts effectués entre l’UE et les États-Unis et des différents enjeux sous-jacents, un premier pas vers un nouvel accord a officiellement été franchi le 25 mars 2022 : la présidente de la Commission européenne annonçait qu’un accord de principe a été trouvé entre l’UE et les États-Unis. Le CEPD s’est rapidement emparé de cette annonce pour rappeler que sa consultation est obligatoire avant toute décision de la part de la Commission sur le fondement de l’article 64 du RGPD. Cet accord de principe a été suivi le 7 octobre 2022 par la signature par Joe Biden d’un décret exécutif sur le renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis, appliquant dans le droit américain l’ensemble des engagements pris en mars.

Pour les données personnelles européennes transférées aux États-Unis, le décret prévoit :

  • des garanties contraignantes qui limitent l’accès aux données par les autorités de renseignement américaines à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.
  • la mise en place d’un mécanisme de recours, à deux niveaux, indépendant et impartial pour les personnes concernées :
    • un officier de protection des libertés civiles rattaché au bureau du directeur du renseignement national (CLPO) pourra mener une enquête initiale sur les plaintes admissibles reçues. Il pourra alors déterminer si les garanties renforcées notamment par le décret (ou d’autres lois américaines applicables) ont été violées et le cas échéant, indiquer les mesures correctives appropriées.
    • une Cour de révision de la protection des données (DPRC) est instaurée pour assurer un contrôle indépendant des décisions de la CLPO, enquêter et résoudre les plaintes concernant l’accès à leurs données par les autorités de sécurité nationale des États-Unis.
  • le décret exécutif oblige les agences de renseignement américaines à revoir leurs politiques et procédures pour mettre en œuvre ces nouvelles garanties.

b) L’adoption de l’accord sous contrôle

Plusieurs étapes sont encore nécessaires avant d’obtenir la publication officielle par la Commission d’une décision d’adéquation avec les États-Unis :

  • l’obtention d’un avis du Comité européen de la Protection des Données (CEPD) : celui-ci ayant d’ores et déjà indiqué qu’il focalisera son analyse sur la manière dont ces réformes assureront qu’une collecte de données à caractère personnel à des fins de sécurité nationale est limitée au strict nécessaire et proportionnée.
  • le feu vert d’un comité composé de représentants des États membres de l’UE.

Malgré les avancées significatives sur le sujet, plusieurs personnes ont déjà réagi et considèrent que ce nouvel accord ne pourra pas être pérennisé. Max Schrems, à l’origine des deux recours devant la CJUE, a contesté ce nouveau décret sous l’angle de la signification divergente du principe de proportionnalité : « L’Union européenne et les États-Unis sont désormais d’accord sur l’utilisation du mot ‘proportionné’, mais ne semblent pas s’accorder sur sa signification. Au final, c’est la définition de la CJUE qui prévaudra — ce qui risque de rendre caduque toute décision de l’UE. La Commission européenne ferme une fois de plus les yeux sur le droit américain, pour permettre de continuer à espionner les européens ».

Le défenseur conteste également le statut de la nouvelle Cour de révision de la protection des données. En effet selon lui, ce tribunal ne serait pas tant indépendant car il serait un organe relevant de la branche exécutive du gouvernement américain. Par conséquent, il ne sera pas possible de bénéficier du recours judiciaire prévu par la Charte des droits fondamentaux de l’Union européenne : « À première vue, il semble que les questions essentielles n’aient pas été résolues, et la CJUE sera de nouveau saisie tôt ou tard ».

Conclusion :

Bien que la réalisation d’étapes notables dans la construction d’un nouvel accord sur la protection des données soit remarquée, plusieurs points restent à éclaircir et animent les débats doctrinaux et médiatiques. En effet, le décret exécutif a été signé le même jour que la signature de l’accord pour le Gaz entre l’Union européenne et les États-Unis, ce qui invite à penser à « un troc data vs gaz ». Par ailleurs, l’avis du CEPD est également très attendu sur le sujet puisqu’il anticipe souvent l’avenir et les décisions de la CJUE en cas de recours.

Enfin, bien qu’il y ait un enjeu financier conséquent, une vision plus large sur ce marché doit être conservée et reste manifestement différente entre les deux puissances, comme l’indique Ursula Pachl (directrice générale adjointe du bureau européen des unions de consommateursBEUC): « Même si les autorités américaines tentent de combler les lacunes du Privacy Shield initial, le fait est que l’Union européenne et les États-Unis ont toujours une approche différente de la protection des données qui ne peut être gommée par un décret ». Ce qui amène à se questionner sur la durée de vie de ce futur accord. Affaire à suivre…

* Le SCA est une loi sur les communications stockées, elle exige notamment que toute demande d’entraide judiciaire internationale dans le but d’obtenir des documents contenus à l’étranger par une entreprise américaine doit être fondée sur des traités bilatéraux (MLAT).

Sources :

Un autre article de Marie Pontrucher, Juriste Consultante Protection des Données Digitemis :

Espace européen des données de santé : c’est parti !

Suite à la pandémie de Covid 19, la Commission européenne a réfléchi à la mise en place d’une uniformisation dans le domaine de la santé. Cette démarche s’est concrétisée par la création d’un espace européen des données de santé. Notre experte Marie Pontrucher fait un complet point sur cet espace destiné à devenir le socle d’une Union européenne de la santé forte.

Lire l’article
espace europeen des donnes de sante marie pontrucher

Je partage

Marie Pontrucher

Autrice d'un mémoire sur l'extraterritorialité du RGPD durant mon Master 2 Droit de l'Union européenne, j'ai intégré Digitemis en qualité de juriste consultante en protection des données personnelles pour accompagner nos clients dans leur mise en conformité au RGPD.

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article