Dans une précédente chronique1, nous avions abordé l’executive order du Président Biden du 7 octobre 20222, lequel faisait suite à un accord politique du 25 mars de la même année. Ce décret présidentiel ouvrait la voie aux travaux préparatoires à une nouvelle décision d’adéquation d’un cadre transatlantique de protection des données personnelles.
Le 28 février 2023, le comité européen à protection des données (CEPD) rendait un avis 05/20233 manifestant un enthousiasme mesuré à l’égard de cette initiative. Si cet avis se félicitait des « améliorations substantielles telles que l’introduction d’exigences intégrant les principes de nécessité et de proportionnalité pour la collecte de données par les États-Unis et le nouveau mécanisme de recours pour les personnes concernées de l’UE », il n’en demandait pas moins des éclaircissements. Ces derniers portaient sur diverses questions renvoyées à la Commission pour examen lors de la préparation du texte final de la décision d’adéquation. Au titre de ces dernières, figuraient certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire en vrac de données et le nouveau mécanisme de recours.
Du côté du Parlement, la défiance était de mise. Le 11 mai, la Commission LIBE adoptait un projet de résolution4, de portée purement consultative, appelant le Conseil à ne pas adopter le projet de décision d’adéquation proposé par la Commission européenne le 13 décembre 20225. Cette position était notamment fondée sur un manque de garanties suffisantes, en particulier face aux lois en matière de renseignement et à la possibilité pour les autorités américaines de conduire des collectes massives de données.
Le 3 juillet 20236, le bureau du Directeur du renseignement national américain confirmait quant à lui que les politiques et procédures liées à la communauté du renseignement avaient été mises à jour afin de mettre en œuvre les mesures de protection de la vie privée et des libertés civiles précisées dans le décret présidentiel d’octobre 2022. Il ne restait donc plus à la Commission qu’à adopter, le 10 juillet 20237, la décision d’adéquation du cadre relatif aux transferts de données personnelles vers les États-Unis (ci-après « le Cadre »), laquelle était assortie d’une FAQ8.
Cette décision vient donc mettre un point « temporairement final » aux incertitudes nées de l’arrêt de la CJUE du 16 juillet 2020 (communément dénommé Schrems II) qui avait invalidé la décision 2016/1250 relative à l’adéquation de la protection des données personnelles transférées vers les USA qu’assurait le bouclier de protection des données UE-États-Unis (privacy shield). Le fait que les flux de données entre les États-Unis et l’Union européenne représentent 7 100 milliards de dollars9 n’est sans doute pas étranger à cette issue favorable, s’agissant d’un dispositif ne faisant pas l’unanimité.
La complexité et la longueur de cette décision (136 pages) et du dispositif qu’elle met en place nécessiteraient des développements qui excèdent l’objet de la présente chronique. Nous nous attacherons à deux thèmes. Le premier est relatif aux effets pratiques de ce Cadre, en ce compris le dispositif de traitement des réclamations (I.). Le second est relatif à la résilience de ce dernier à la lumière des recours d’ores et déjà envisagés ou introduits (II.).
La première question est celle de la portée de ce dispositif et la possibilité, désormais, de se détourner des mécanismes de transferts prévus par l’article 46 du RPGD, dont notamment les clauses contractuelles types et les règles contraignantes d’entreprises (Binding Corporate Rule).
La Commission, dans sa FAQ du 10 juillet 2023 (point 7), abordait la question suivante : « Quelle est l’incidence de la décision sur la possibilité d’utiliser d’autres outils pour les transferts de données vers les États-Unis ? ». La réponse à la question de savoir si le Cadre est simplement « facilitateur » dans la prise des garanties visées par le RGPD ou bien un dispositif en soi suffisant, n’était pas totalement limpide10.
Le 18 juillet 2023, à son tour le CEPD a diffusé une « note d’information sur les transferts de données en vertu du RGPD vers les États-Unis après l’adoption de la décision d’adéquation le 10 juillet 2023 »11. Au point 1 de cette dernière, il est précisé que la décision d’adéquation s’applique depuis le 10 juillet 2023. Le CEPD précisant : « Cela signifie qu’à compter de cette date, les transferts de l’UE vers des organisations aux États-Unis qui figurent dans la « liste du cadre de confidentialité des données » peuvent être fondés sur la décision d’adéquation, sans qu’il soit nécessaire de s’appuyer sur les outils de transfert prévus à l’article 46 du RGPD. »
La Cnil, dans sa FAQ12 du 13 juillet adopte un positionnement identique. A la question 4, « Quelles sont les conséquences de cette décision pour les organismes souhaitant transférer des données vers les États-Unis ? », la réponse suivante est apportée : « La Commission européenne constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’UE, les organismes soumis au RGPD (qu’ils soient responsables de traitement ou sous-traitants) peuvent désormais transférer des données personnelles vers les organismes certifiés qui se sont engagés, annuellement et publiquement, à adhérer à ce cadre légal. Ils n’ont pas l’obligation de mettre en place un outil de transfert au titre de l’article 46 du RPGD ou de se prévaloir d’une dérogation au titre de l’article 49 du RGPD ». Ce faisant cette dernière reprend le contenu du considérant 8 du Cadre.
On notera que sont concernées par ce Cadre les données chiffrées, y compris lorsque la clé n’est pas communiquée à l’organisation américaine destinataire13.
Nous nous bornerons ici à passer en revue certains principes évoqués dans le Cadre présentant un intérêt particulier.
Tout envoi de données personnelles vers une entreprise se trouvant aux USA ne peut ispo facto se prévaloir du Cadre. Sont ainsi exclus du Cadre les transferts vers des entités « non-adhérentes », il en va de même des transferts des entités adhérentes à destination d’entités qui ne le sont pas ou se trouvant dans des pays ne présentant pas de protection équivalente des données personnelles. Dans ces cas, demeure l’exigence de « garanties appropriées », en vertu de l’article 46 du RGPD.
Dans les autres cas, les transferts sous couvert du Cadre nécessitent que les entreprises se soient préalablement auto-certifiés. Enfin, s’agissant des entreprises américaines précédemment certifiées au titre du privacy shield celles-ci ne perdent pas totalement le bénéfice de ce dernier. Elles n’ont donc besoin de procéder à des formalités supplémentaires et peuvent se prévaloir immédiatement du Cadre, puisqu’elles figurent d’ores et déjà sur la liste mise à disposition sur le site du Département du Commerce des États-Unis14. Toutefois, elles doivent d’ici au 10 octobre 2023 procéder à une mise en conformité au nouveau Cadre (mise à jour de leurs politiques et notes d’information). Les entreprises doivent rendre publiques leurs politiques de confidentialité et communiquer les liens vers le site web du U.S. Department of Commerce (DoC)15.
Notons qu’afin de garantir la sécurité juridique et d’éviter de « fausses déclarations », les entreprises s’auto-certifiant pour la première fois ne sont pas autorisées à faire publiquement référence à leur adhésion au Cadre avant que le DoC n’ait déclaré le dossier complet et dûment ajouté l’entité à la liste.
L’adhésion au Cadre se fait au terme d’une auto-certification annuelle sur la base d’un référentiel d’adéquation communiqué par la Commission. Cette dernière fait référence aux travaux du G2916de 2018 qui mériteraient sans doute d’être mis à niveau. Côté américain, ainsi que l’expliquent les considérants 48 à 52 du Cadre, les entreprises doivent, pour obtenir ou renouveler cette certification, déclarer leur engagement à respecter les « principes du cadre de confidentialité des données UE-États-Unis » figurant en annexe 1 de ce dernier. Ces principes de protection sont alignés sur ceux du RGPD (cons. 14 et suivants du Cadre17).
À ce titre, se trouvent notamment l’intégrité des données et la limitation des finalités18, étant souligné que des « garanties spécifiques doivent exister » en présence d’« informations sensibles » (santé, origines ethniques, opinions politiques...)19.
On notera que le Cadre évoque un principe de « notification » (considérant 25) pendant de la transparence du RGPD20, lequel exige des entreprises américaines qu’elles informent les personnes concernées, de leur participation au Cadre, du type de données collectées, de la finalité du traitement, du type ou de l’identité des tiers auxquels les données à caractère personnel peuvent être communiquées, des finalités de cette divulgation, de leurs droits individuels, des moyens de contacter l’entreprise, ainsi que des voies de recours disponibles.
Le principe « d’accès » prévoit quant à lui la possibilité pour les personnes concernées, sans avoir à se justifier, d’obtenir confirmation de l’existence d’un traitement les concernant, de prendre connaissance des données traitées pour en vérifier l’exactitude, la licéité et en demander éventuellement la correction. La réponse doit être apportée dans des « délais raisonnables »21.
En ce qui concerne les « transferts ultérieurs »22, en application du principe de responsabilité (considérant 38) ceux-ci sont encadrés et ne peuvent avoir lieu qu’à l’égard de finalités limitées et déterminées, sur la base d’un contrat entre l’entité auto-certifiée et le tiers23 et uniquement si ce contrat exige du tiers qu’il fournisse le même niveau de protection. En principe, les transferts ultérieurs ne devraient donc concerner que des entreprises elles-mêmes adhérentes au Cadre ou, à tout le moins, considérées comme équivalentes en termes de protection des données personnelles24.
Le considérant 40 pose enfin un « principe de choix » selon lequel les personnes concernées doivent être notamment informées du type ou de l’identité de tout tiers destinataire, de la finalité de ce transfert et de la faculté de s’y opposer ou, dans le cas de données sensibles, de donner un « consentement explicite affirmé » (opt-in) au transfert ultérieur.
L’un des piliers du Cadre réside dans la capacité offerte aux personnes concernées d’élever une contestation à l’égard du traitement de leurs données personnelles. Le Cadre est, de ce point de vue, prolixe.
Les entreprises qui auto-certifient leur conformité doivent fournir un accès à des mécanismes de règlement extrajudiciaire des litiges fournis par un tiers indépendant. Ces derniers doivent être mis en place avant l’auto-certification et mis à disposition sans frais pour les personnes concernées.
Le Cadre décrit avec une grande précision le processus de traitement amiable des litiges. Tout d’abord, principe de base, les personnes concernées doivent pouvoir introduire un recours contre les entreprises certifiées au titre du Cadre25, ces dernières devant mentionner cette possibilité de recours dans une politique de protection de la vie privée, laquelle devra indiquer le point de contact, interne ou externe (voir le considérant 70). Dès réception de la réclamation, l’entreprise doit fournir une réponse à la personne concernée dans un délai de 45 jours26.
Par ailleurs, la plainte peut être directement déposée auprès d’un organisme indépendant de règlement des litiges situé dans l’UE, le considérant 73 précisant qu’il peut s’agir d’une autorité de protection des données européenne, laquelle peut faire usage des pouvoirs prévus par le RGPD. Il est prévu, qu’afin de faciliter de faciliter la coopération, le DoC et la FTC mettent en place un point de contact spécialisé27, lequel dispose de 90 jours, à compter de sa saisine, pour informer sur l’état d’avancement de la procédure28. Un rapport annuel29 doit donner des statistiques globales concernant les services rendus par ces organismes indépendants.
Si les entreprises sont tenues de coopérer à l’enquête30, elles peuvent aussi refuser de se conformer à la décision rendue par un organisme de résolution des litiges. Ce dernier doit alors notifier ce manquement au DoC, et toute autre autorité américaine compétente rationae materiae, ou bien encore à un tribunal compétent31. Pareil refus peut être considéré par le DoC « comme un manquement persistant » (considérant 72), ce dernier pouvant donner un préavis de 30 jours avant de prononcer une radiation de la liste des entreprises conformes au Cadre. On notera que la FTC peut également prononcer des sanctions civiles allant jusqu’à 50 120 dollars par violation, ou une somme identique par jour en cas de violation continue32.
Un mécanisme de recours de « dernier ressort » est enfin envisagé, dans le cas où aucune des autres voies de recours disponibles n’aurait conduit à une issue satisfaisante pour la personne concernée. Ce mécanisme repose sur un « panel »33 dont les modalités de fonctionnement sont fixées par le considérant 84.
On notera deux limitations aux prérogatives de ce panel. Tout d’abord, il ne peut prononcer de dommages-intérêts, de telles sanctions ne pouvant être prononcées que par les tribunaux. Par ailleurs, cet arbitrage ne peut être invoqué si une autorité de protection des données est légalement habilitée à résoudre le litige (considérant 85).
Ensuite, le recours au panel est impossible dans trois situations34. Lorsque la question porte sur une décision de justice, ou des exigences d’intérêt public ou de sécurité nationale, étant souligné que la notion d’exigences d’intérêt public n’est guère transparente. La seconde limitation vise une loi, une décision de justice ou une réglementation gouvernementale créant des autorisations explicites dérogatoires aux principes du Cadre. Cette dérogation doit toutefois être nécessaire pour satisfaire les intérêts légitimes prépondérants favorisés par cette autorisation.
Cette deuxième exception semble très proche de la précédente et renvoie de manière plus ou moins directe aux prérogatives régaliennes pouvant s’exprimer dans le domaine de la sécurité, mais pas uniquement, dès lors que seraient en cause des intérêts « prépondérants », dont on ignore ce qu’ils peuvent être. Ces deux exceptions, lues conjointement, nous disent que les États-Unis peuvent s’absoudre de ce cadre d’arbitrage de dernier ressort si bon leur semble, pour autant que la satisfaction de leurs intérêts l’exige. La troisième et dernière exception concerne les cas où le RGPD autoriserait de telles exceptions.
Le Cadre évoque des voies de recours judiciaires disponibles en vertu de la législation américaine, y compris pour l’obtention de dommages-intérêts, toutefois les coûts et la complexité associés à pareille procédure seront suffisamment dissuasifs pour qu’une telle issue soit exceptionnelle.
Les considérants 91 et suivants du Cadre visent un sujet délicat, relatif aux recours possibles en cas de données personnelles communiquées à l’occasion d’une procédure pénale. Cette situation était particulièrement au centre des préoccupations de l’arrêt Schrems II. En effet, la question des prérogatives de la communauté du renseignement US et de l’opacité, tant des moyens de collectes que des éventuelles voies de recours, a directement conduit à l’invalidation du privacy shield, tout comme elle avait auparavant entraîné celle du safe harbour.
Afin de faire pièce à ces critiques, l’executive order d’octobre 2022 (section 3) prévoit un dispositif de recours à double niveau. Le premier réside dans une enquête permettant au Civil Liberties Protection Officer (CLPO) de constater l’existence d’une violation de la protection des données personnelles et de prendre des mesures appropriées, y compris en matière de réparation. Le second niveau réside dans une cour « de révision de la protection de données » (Data Protection Review Court – DPRC), cette dernière n’étant pas une juridiction puisqu’elle n’est pas instituée par une loi35.
Nous ne reviendrons pas sur l’opinion que l’on peut avoir de l’efficacité de ce dispositif et de ses limites, sujet abordé dans une précédente chronique36. Toutefois, nous soulignerons deux points qui nous semblent importants.
Tout d’abord, le Cadre (considérant 97) confirme qu’il ne peut y avoir d’obstacle de principe à l’information par un fournisseur de l’un de ses clients, au sujet d’une demande judiciaire d’accès à des informations le concernant, lui ou l’un de ses clients.
Ainsi, les fournisseurs qui reçoivent des demandes au titre de la Stored Communications Act37 peuvent informer un client ou un abonné dont les informations sont recherchées, sauf « ordonnance de protection » interdisant une telle information. La prise de position du Cadre est intéressante en ce qu’elle vient confirmer le fait que « les fournisseurs peuvent aviser les titulaires de comptes des recherches effectuées en vertu d’une ordonnance d’un tribunal américain en vertu de la Stored Communications Act, à moins qu’un juge indépendant n’ait rendu une ordonnance de protection »38. Il ne devrait donc plus y avoir d’obstacle de principe au recours aux clauses dites de « canary warrrant » permettant à un fournisseur d’informer ses clients de l’existence d’une demande de communication d’information dans le cadre d’une procédure.
La seconde question est celle de la pérennité du Cadre, qui s’inscrit dans la continuité de deux dispositifs de protection des transferts transatlantiques jugés insuffisamment protecteurs. L’évaluation de la « solidité » du Cadre est délicate, mais on peut toutefois évoquer une affaire pendante devant la CJUE, dont l’issue sera riche d’enseignements en la matière.
Souvenons-nous que l’executive order du Président Biden d’octobre 2022 prévoit un dispositif de recours à double niveau. En premier lieu, un Civil Liberties Protection Officer (CPLO) examinera les informations relative aux « plaintes éligibles », déterminera si une violation a eu lieu, en accordant « la déférence appropriée à toute décision pertinente prise par les responsables de la sécurité nationale » (sic)39 et évaluera la réparation adéquate. ». Le CLPO informera la personne concernée par l’intermédiaire de l’autorité nationale compétente, sans toutefois confirmer ni infirmer que le plaignant a effectivemnt fait l’objet d’activités de renseignement de la part des États-Unis.
Le recours de second niveau se manifeste devant une « court », la Data Protection Review Court (DPRC), laquelle statue à huis clos afin de préserver d’éventuelles informations « sensibles ». Les juges y statuent sur la base d’un dossier auquel le plaignant n’a pas accès. Les délibérations aboutissent soit au constat de l’absence de violation de données personnelles, soit au constat d’une telle violation et, dans ce cas, au prononcé d’une indemnisation. Notons que l’order du procureur général n° 5517-2022 faisant suite à l’EO d’octobre 202240 prévoit (§ 201.9 f) qu’avant de déterminer les mesures correctives appropriées, le tribunal prend l’avis de la communauté du renseignement sur les mesures escomptées et leurs impacts sur la sécurité des États-Unis.
Une affaire pendante devant la CJUE41 pourrait remettre en cause la validité de ce dispositif. Dans cette espèce, est en cause une particularité de la législation belge en matière de protection des données personnelles, qui implique que lorsqu’un citoyen souhaite exercer ses droits à l’égard de traitements de données liés à la police où la sûreté de l’État, il doit au préalable saisir l’organe de contrôle de l’information policière (OCIP), lequel procédera à une enquête et, en l’absence de violation, se bornera à informer la personne concernée qu’« il a été procédé aux vérifications nécessaires » et que celles-ci n’ont « pas révélé » de violation.
Au centre des débats se trouve la directive 2016/680 du 27 avril 201642, laquelle suscite deux questions posées à la CJUE au sujet de la compatibilité de ce texte avec la Charte des droits fondamentaux de l’Union européenne. Tout d’abord, ses articles 47 et 8 § 3 imposent-ils de prévoir un recours juridictionnel à l’encontre de l’autorité de contrôle indépendante telle que l’OCIP, lorsque cette autorité exerce les droits de la personne concernée à l’égard du responsable du traitement ?
La seconde question porte sur l’article 17 de cette directive qui n’oblige l’autorité de contrôle qu’à informer la personne concernée « qu’elle a procédé à toutes les vérifications nécessaires ou à un examen » et « de son droit de former un recours juridictionnel ». Une telle information ne permet en effet aucun contrôle sur les actions et appréciations de l’autorité de contrôle au regard des données de la personne concernée et des obligations qui pèsent sur le responsable du traitement.
Dans ses conclusions, l’avocate générale Laila Medina43 considère qu’en vertu de la directive 2016/680, l’accès direct aux données à caractère personnel détenues par les autorités constitue un principe général et l’accès indirect l’exception. Lorsque cette exception s’applique, la personne concernée doit bénéficier d’un recours juridictionnel contre cette autorité, dès lors que cette dernière ne peut faire davantage que communiquer des informations minimalistes, à savoir qu’elle a procédé à toutes les vérifications nécessaires. Il est dans ce cas nécessaire qu’un contrôle juridictionnel soit possible afin d’en examiner les motifs, ainsi que la décision du responsable du traitement de limiter l’accès.
Le plus important est que l’avocate générale considère44 que l’article 17 de la directive 2016/680 est compatible avec la Charte des droits fondamentaux de l’Union européenne, dès lors que l’autorité de contrôle peut, selon les circonstances, ne pas se borner à informer la personne concernée qu’elle a procédé à toutes les vérifications nécessaires, et que cette dernière dispose de la possibilité de soumettre à un contrôle juridictionnel l’action et l’appréciation effectuées par l’autorité. Deux remarques s’imposent : d’une part, la DPRC n’est pas une juridiction, puisqu’un executive order ne peut créer de juridiction, seule une loi le pouvant45 ; d’autre part, la procédure applicable face à elle a pour principale préoccupation la préservation des informations pouvant intéresser la sécurité nationale des États-Unis et non la protection des données personnelles.
Certes se pose la question de recours hors Cadre, devant les juridictions US. Pareils recours se heurtent à l’absence de garanties, notamment celles offertes par le quatrième amendement, s’agissant de personnes qui ne sont pas de nationalité américaine46. Par ailleurs, quelle est l’effectivité de pareils recours, dont la complexité et le coût représentent des obstacles dirimants ?
Notons qu’en application des arrêts ZZ47 et Kadi48, mentionnés dans les conclusions de l’avocat général, une mise en balance des nécessités de protection de la sûreté des États et de celles relatives à la protection des droits des personnes doit avoir lieu. Encore une fois, c’est bien là que le bât blesse puisque la logique qui sous-tend les voies de recours ouvertes par le Cadre, qu’il s’agisse des voies amiables à l’occasion d’échanges commerciaux ou du dispositif à double détente pour les communications de déroulant dans un contexte répressif, est très fortement marquée par la prévalence des préoccupations sécuritaires. La décision à venir pourrait apporter de l’eau au moulin de ceux qui doutent de la réalité du caractère substantiellement équivalent de la protection qu’assure le Cadre.
Sans attendre l’issue de cette procédure, un député français, M. Philippe Latombe, a déjà franchi le pas en déposant un recours en annulation, le 6 septembre 2023, fondé sur l’article 263 du traité sur le fonctionnement de l’Union européenne (TFUE) prévoyant « un recours contre les actes dont elle est le destinataire ou qui la concernent directement et individuellement49, ainsi que contre les actes réglementaires qui la concernent directement et qui ne comportent pas de mesures d’exécution ».
Le requérant fonde sa demande sur les notions de recours effectif, critiquant au passage le manque de transparence dans la procédure nouvellement créée de la Cour de révision de la protection des données (DPRC), de violation des principes de minimisation et de proportionnalité au vu des collectes massives de données et, enfin, l’absence de traduction du texte (à date) dans les langues officielles de l’Union européenne (UE). En tout état de cause, Max Schrems se tient en embuscade.
Si le Cadre règle, du moins pour le moment, la question de la protection des données dans une large partie des échanges transatlantiques, on ne peut perdre de vue un arrière-plan judiciaire fortement incitatif à ne pas baisser prématurément la garde. n
