Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Transfert de données personnelles vers les États-Unis : le Tribunal de l’UE valide la décision d’adéquation de la Commission

Publié le par 86 vues

Pour le Tribunal, à la date d’adoption de la décision attaquée, les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays. Il refuse donc d’annuler la décision d’adéquation prise par la commission européenne le 10 juillet 2023. Historique : Schrems I et Schrems…

Pour le Tribunal, à la date d’adoption de la décision attaquée, les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays. Il refuse donc d’annuler la décision d’adéquation prise par la commission européenne le 10 juillet 2023.

Historique : Schrems I et Schrems II

S’agissant du transfert de données à caractère personnel depuis l’Union européenne vers les États-Unis, dans un premier temps, par l’arrêt du 6 octobre 2015 (C‑362/14, ci‑après l’« arrêt Schrems I »), la Cour a déclaré invalide la décision 2000/520/CE de la Commission, du 26 juillet 2000 (safe harbour).

Dans un second temps, par l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, ci-après l’« arrêt Schrems II »), la Cour a déclaré invalide la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016 (privacy shield).

Dans ces arrêts, la Cour, saisie par un renvoi préjudiciel en appréciation de validité, a estimé notamment que, contrairement à l’appréciation de la Commission européenne ressortant de ces décisions d’adéquation, le système de la sphère de sécurité et le système du bouclier de protection des données régissant le transfert de données à caractère personnel, ne garantissaient pas un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti par le droit de l’Union.

À la suite de l’arrêt Schrems II, la Commission a entamé des pourparlers avec le gouvernement des États-Unis en vue d’adopter une éventuelle nouvelle décision d’adéquation qui respecterait les exigences de l’article 45, paragraphe 2, du RGPD.

Ainsi, le 7 octobre 2022, les États-Unis d’Amérique ont adopté l’Executive Order 14086 (décret présidentiel no 14086, ci-après l’« E.O. 14086 »), qui renforce les mesures de protection de la vie privée régissant les activités de renseignement d’origine électromagnétique menées par les agences de renseignements établies aux États-Unis. Ce décret a été complété par l’Attorney General Order No. 5517–2022 (règlement du procureur général no 5517–2022, ci-après le « règlement AG »), qui a ajouté la partie 201 au titre 28 du Code of Federal Regulations (CFR, Code des règlements fédéraux), encadrant la création et le fonctionnement de la Data Protection Review Court (Cour chargée du contrôle de la protection des données, ci-après la « DPRC »).

Le 10 juillet 2023, après examen de ces évolutions réglementaires aux États-Unis, la Commission a adopté, sur le fondement de l’article 45, paragraphe 3, du RGPD, sa troisième décision d’adéquation – la décision attaquée – qui met en place le nouveau cadre transatlantique de flux de données à caractère personnel entre l’Union et les États-Unis. L’article 1er de ladite décision déclare que les États-Unis d’Amérique assurent un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays et figurant sur la liste du « cadre de protection des données UE – États-Unis » (le « CPD ») tenue à jour et publiée par leur ministère du Commerce (les « organisations du CPD »).

En substance, les nouvelles dispositions américaines introduisent les protections suivantes :

  • Les traitements inhérents aux activités de renseignement seront soumis à des garanties appropriées qui veilleront à ce que la vie privée et les libertés civiles soient respectées, quels que soit la nationalité ou le lieu de résidence des individus concernés.
  • Ces activités de renseignement devront respecter les principes de nécessité et proportionnalité : le but est de parvenir à un équilibre adéquat entre l’importance de l’activité de renseignement et l’impact sur la vie privée et les libertés civiles de toutes les personnes concernées.
  • Les activités de renseignements devront être limitées à l’un des objectifs légitimes listés : la protection contre les capacités et les activités militaires étrangères ; la protection contre le terrorisme ; la protection contre l’espionnage ; et la protection contre les menaces de cybersécurité créées ou exploitées par un gouvernement étranger.
  • Certaines finalités sont prohibées pour les activités de renseignements : supprimer la critique, la dissidence ou la libre expression d’idées ou d’opinions politiques par des individus ou la presse ; restreindre les intérêts légitimes en matière de protection de la vie privée ; restreindre le droit à un avocat ; ou désavantager les personnes en raison de leur origine ethnique, de leur race, de leur sexe, de leur genre, de leur orientation sexuelle ou de leur religion.

C’est sur la base de ces nouvelles garanties américaines et constatant que cela avait corrigé les défauts affectant le mécanisme précédent, que la Commission a adopté sa décision d’adéquation.

Dans ce contexte, M. Philippe Latombe, un citoyen français, utilisateur de diverses plates-formes informatiques collectant ses données à caractère personnel et les transférant aux États-Unis, a demandé au Tribunal de l’Union européenne d’annuler la décision attaquée. Selon lui, la DPRC est ni impartiale ni indépendante, mais dépendante du pouvoir exécutif. En outre, il estime que la pratique des agences de renseignement de ce pays consistant à collecter en vrac, sans l’autorisation préalable d’un juge ou d’une autorité administrative indépendante, des données à caractère personnel en transit depuis l’Union n’est pas encadrée de manière suffisamment claire et précise et est, donc, illégale.

Rappel : les transferts de données hors UE

Selon le RGPD (art. 45), les transferts hors UE sont interdits, sauf à démontrer que l’on est dans une des hypothèses suivantes :

  1. Niveau de protection adéquat. Le pays de destination a une législation reconnue par la Commission Européenne comme offrant une protection des données personnelles équivalente à celle existante en Europe ;
  2. CCT. Les organismes expéditeur et destinataire des données ont signé entre eux des clauses contractuelles types (CCT), sur la base des modèles de la Commission Européenne ;
  3. BCR. Le transfert a lieu entre des entités d’un groupe ayant adopté des règles internes d’entreprise (Binding corporate rules ou BCR). Ces règles internes constituent un code de conduite propre à l’entreprise, qui encadre la sécurité des transferts de données ;
  4. Code de conduite approuvé. Le destinataire des données applique un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l’autorité européenne de protection des données compétente ;
  5. Certification. Une certification, assortie de l’engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant dans le pays hors UE d’appliquer les garanties appropriées ;
  6. Cas exceptionnels. Dans certains cas particuliers prévus par le Règlement général sur la protection des données (par exemple, la sauvegarde de la vie d’une personne) ;
  7. Autorisation préalable. Une autorisation préalable de l’autorité dont le responsable relève, en cas de clauses contractuelles propres différentes des clauses types ou en cas de dispositions intégrées dans les arrangements entre autorités et organismes publics.

La décision attaquée, prise par la commission européenne, et donc la mise en œuvre du point 1.

Le raisonnement du Tribunal

Le Tribunal rejette le recours en annulation.

S’agissant, en premier lieu, de la DPRC, le Tribunal constate notamment qu’il ressort du dossier que la nomination des juges de la DPRC et le fonctionnement de celle-ci sont assortis par plusieurs garanties et conditions visant à assurer l’indépendance de ses membres. De plus, d’une part, les juges de la DPRC ne peuvent être révoqués que par le procureur général et uniquement pour un motif valable et, d’autre part, le procureur général et les agences de renseignement ne peuvent pas entraver ou indûment influencer leur travail.

Le Tribunal relève, en outre, que, aux termes de la décision attaquée, la Commission est tenue de suivre de manière permanente l’application du cadre juridique sur lequel celle-ci se fonde. Ainsi, si le cadre juridique en vigueur aux États-Unis au moment de l’adoption de la décision attaquée change, la Commission peut décid er, si nécessaire, de suspendre, modifier ou abroger la décision attaquée ou d’en restreindre le champ d’application.

Eu égard à ces éléments, le Tribunal rejette le moyen tiré du défaut d’indépendance de la DPRC.

S’agissant, en second lieu, de la collecte en vrac de données à caractère personnel, le Tribunal souligne notamment qu’aucun élément dans l’arrêt Schrems II ne suggère que celle-ci doive obligatoirement faire l’objet d’une autorisation préalable délivrée par une autorité indépendante. Au contraire, il ressort de cet arrêt que la décision autorisant une telle collecte doit, au minimum, faire l’objet d’un contrôle judiciaire a posteriori.

Pour le Tribunal, il ressort du dossier que le droit des États-Unis assujettit les activités de renseignement d’origine électromagnétique menées par les agences de renseignement des États-Unis à la surveillance judiciaire a posteriori de la DPRC. Par conséquent, le Tribunal estime qu’il ne saurait être considéré que la collecte en vrac de données à caractère personnel effectuée par les agences de renseignement américaines ne satisfait pas aux exigences découlant de l’arrêt Schrems II à cet égard et que le droit des États-Unis n’assure pas une protection juridique substantiellement équivalente à celle qui est garantie par le droit de l’Union.

Eu égard à ces éléments, le Tribunal rejette le moyen concernant la collecte en vrac des données à caractère personnel et, partant, le recours dans son ensemble.

La suite ?

Un pourvoi, limité aux questions de droit, peut être formé, devant la Cour, à l’encontre de la décision du Tribunal, dans un délai de deux mois et dix jours à compter de sa notification.

En raison de la nature de la procédure en annulation, le tribunal s’est prononcé sur l’appréciation de la commission au jour de la décision attaquée. Le communiqué de presse du tribunal le précise : « à la date d’adoption de la décision attaquée », les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays.

Or, la situation a évolué depuis le deuxième mandat du président Trump, celui-ci ayant pris un certain nombre d’initiatives qui ont un impact sur le caractère effectif et pérenne de la protection accordée. Ces initiatives révèlent en effet la fragilité de certains mécanismes mis en place, par exemple l’indépendance de la DPRC ou la facilité avec laquelle le président, agissant sans le contrôle du législateur, peut réévaluer le cadre juridique des activités de renseignement. Pour le dire brièvement : ce qui a été créé pour garantir la protection des données des citoyens européens l’a été en peu de temps, sur la décision d’un président, et le système peut être détricoté en tout aussi peu de temps, par un autre président.

Dans le cadre d’une appréciation élargie, prenant en compte la situation au jour où elle statue, ou prenant en compte le caractère effectif et pérenne de la protection au jour où la Commission a statué en intégrant dans l’analyse des éléments postérieurs qui peuvent révéler la faiblesse du mécanisme ab initio, la Cour pourrait avoir une analyse différente.

Quoiqu’il en soit, dans l’état actuel, pour toutes les entreprises qui envoient des données personnelles vers les États-Unis, ou qui les y stockent (cloud notamment), la décision du tribunal résonne comme un message rassurant. Du point de vue des organismes qui militent pour la protection des données à caractère personnel, c’est par contre la tristesse qui prévaut.

L’arrêt est disponible ci-dessous.

Voir aussi nos autres actus sur ce sujet.

Droit & Technologies

Annexes

CURIA – arret du tribunal

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK