Espace Banque & Droit

Transferts de données personnelles États-Unis-Union européenne :
le clair-obscur de l’executive order n° 14086 du 7 octobre 2022

Créé le

02.12.2022

-

Mis à jour le

05.12.2022

« La Chauve-souris et les deux Belettes », Fables de Jean de la Fontaine, livre II, 1er recueil.

Emmanuel Jouffin
  • Docteur en droit
  • Responsable veille réglementaire Cyber et PSSI

Après des relations houleuses, ponctuées par un feuilleton judiciaire alimenté par Maximilien Schrems, les échanges de données à caractère personne entre les États-Unis et l’Europe au titre de relations commerciales entament une nouvelle phase. Le 25 mars 20221, par une déclaration d’accord de principe commune, les deux protagonistes se sont engagés sur un projet de cadre transatlantique de protection des données personnelles. Le 7 octobre 2022 a été publié un executive order n° 14086 (décret présidentiel, ci-après « EO ») « On Enhancing Safeguards For United States Signals Intelligence Activities »2 donnant une dimension concrète à cet accord.

On notera que le périmètre d’application de l’EO dépasse certainement la collecte d’informations au sens du défunt privacy shield, lequel visait les échanges de données dans un cadre commercial. L’évocation, notamment, de la collecte de masse, laisse entrevoir que ce texte concerne également les collectes de renseignements effectuées sous l’égide de textes tels que le FISA Act3 ou bien encore le CLOUD Act4. L’administration Biden a pris note des préoccupations exprimées par la Cour de justice de l’Union européenne (CJUE) dans ses décisions Schrems I et Schrems II au sujet des prérogatives des agences de renseignement US. On notera ainsi que, par rapport aux dispositifs prévus notamment par l’executive order 123335 et la PPD286, la protection accordée par l’EO vaut pour toutes les personnes, qu’elles soient ou non de nationalité américaine ou résidentes.

Avant d’examiner le dispositif de remédiation voulu par les autorités US, il convient de faire un bref rappel des diverses procédures ayant conduit à l’EO (I.).

Une fois ces prémices rappelées, il restera à évoquer les mesures phares annoncées le 7 octobre 2022. La volonté qui transparaît est d’établir une surveillance proportionnée, au sens de l’article 52 de la Charte des droits fondamentaux, et un offrant un recours juridictionnel effectif au travers de l’accès à un tribunal impartial, conformément à l’article 47 de la même Charte. Ceci se traduit par un encadrement de l’activité de la communauté du renseignement US (II.) et par un accès à un dispositif de recours à deux niveaux. Les plaintes seront ainsi examinées par un Civil Liberties Protection Officer7, le second niveau étant assuré par un recours auprès de la Data Protection Review Court (DPRC) (III.).

Le 6 octobre 2015, la CJUE8 a rendu une importante décision en matière de protection des données personnelles. Dans cette espèce, M. Schrems reprochait au Data Protection Commissioner (la CNIL irlandaise) son refus d’enquêter sur le fait que Facebook Ireland Ltd transférait aux États-Unis les données à caractère personnel de ses utilisateurs et les conservait sur des serveurs situés dans ce pays. Saisie de cette question, la CJUE9 a invalidé purement et simplement la décision de la Commission du 26 juillet 2000 (2000/520/CE) ayant fixé les principes du safe harbor. Ce dernier permettait de considérer les transferts de données personnelles en provenance de l’Union européenne vers les États-Unis comme s’effectuant avec un niveau de protection jugé équivalent aux standards européens en la matière.

Cet arrêt Schrems I ne pouvait surprendre10. En effet, il se situait dans le droit fil d’une communication de la Commission du 27 novembre 201311, dont le point 8 énonçait « l’accès à grande échelle des agences de renseignement aux données que des entreprises certifiées au titre de la sphère de sécurité transfèrent aux États-Unis soulève de graves questions sur la continuité de la sauvegarde des droits des citoyens européens en matière de protection des données lorsque des données les concernant sont transférées aux États-Unis ». Par ailleurs, une résolution du Parlement européen du 12 mars 201412 invitait à cette occasion les États membres à adopter un habeas corpus numérique européen et à suspendre, purement et simplement, l’accord Safe Harbour ainsi que l’Accord TFTP (accord Swift).

L’histoire ayant tendance à se répéter d’autant plus aisément que de puissants impératifs commerciaux l’y pousse, voici que le 12 juillet 201613, le safe harbor trouva un remplaçant dans un nouvel accord dit de « bouclier de protection des données Union européenne-États-Unis » ou privacy shield. Cet accord, mis en place sous la houlette du Département du Commerce américain, introduisait un mécanisme d’auto-certification par lequel les entreprises américaines s’engageaient à respecter les principes définis par le privacy shield. Les conditions de mise en œuvre de cet accord se sont avérées rapidement, entre euphémisme et litote, perfectibles. Le G29, dès le 13 avril 201614 émettait notamment des réserves au sujet de la médiation prévue par le privacy shield. Dans un premier rapport annuel de novembre 201715 la Commission soulevait de nombreuses pistes d’amélioration. Dans son troisième rapport annuel d’application16 du 23 octobre 2019, cette même Commission soulignait, notamment, l’absence de sanction à l’encontre d’entreprises se prétendant indument participantes au dispositif du privacy shield. La cause était entendue.

La CJUE, le 16 juillet 202017, dans un arrêt dit Schrems II, du nom du fossoyeur désormais attitré des accords transatlantiques dans ce domaine, enterrait le privacy shield, pour des motifs sensiblement identiques à ceux articulés contre le safe harbour et qui peuvent être ainsi résumés : l’incapacité de ces dispositifs à assurer un niveau de protection « substantiellement équivalent à celui garanti au sein de l’Union européenne »18. À cette occasion, les juges de Luxembourg ont souligné que le RGPD19 est applicable aux transferts de données à des fins commerciales, « nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État » (pts 80 à 89).

Dans un souci de prévention d’un éventuel vide juridique, l’arrêt de juillet 2020 a toutefois préservé, sous certaines conditions, les clauses contractuelles types20 (CCT) objets de la décision de la Commission européenne 2010/8721, permettant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers.

Relevons qu’un Livre blanc sur les suites de la décision de la CJUE de juillet 202022, diffusé en septembre 2020 par le département US du Commerce, est éclairant sur la posture des États-Unis au regard de l’équilibre entre vie privée et lutte contre la criminalité.

Dans une lettre de présentation de ce Livre blanc23, le sous-secrétaire adjoint aux services du département du commerce, avant de préciser la finalité du Livre blanc, a cru bon de rappeler le rôle majeur des États-Unis en matière de prévention de la criminalité et, implicitement, l’ingratitude des européens24. Ceci fait, il a également rappelé : « Toutefois, compte tenu notamment des vastes réformes de la surveillance aux États-Unis depuis 2013, et comme le décrit plus en détail le Livre blanc, le cadre juridique américain pour la collecte de renseignements étrangers prévoit des limites plus claires, des garanties plus solides et un contrôle indépendant plus rigoureux que les lois équivalentes de presque tous les autres pays. » Le « presque » a ici une importance considérable, qui donne le ton général de la posture américaine dans ce débat.

Il s’agit d’un décret présidentiel qui peut être annulé par un décret de portée inverse. Ainsi Joe Biden a-t-il révoqué, le 20 janvier 2021, l’executive order 13768 du 25 janvier 201725 par lequel le président Trump enjoignait aux agences de renseignement américaines, à condition que cela soit « conforme aux lois applicables », de veiller à ce que leur politique en matière de respect de la vie privée exclue les citoyens non américains et les personnes qui ne résident pas de manière permanente aux États-Unis. Cet executive order prenait le contre-pied du Judicial Redress Act26 qui accordait, notamment aux ressortissants européens, le droit d’introduire un recours juridictionnel aux États-Unis en cas d’atteinte à leurs données personnelles.

Si les executive orders ont « force de loi »27, ceci ne signifie pas qu’ils permettent de remettre en cause une loi adoptée par le Congrès des États-Unis. Aussi bien D. Trump dans son EO13768 prenait-il le soin de rappeler la nécessaire conformité aux lois applicables. L’EO n’a donc pas pour effet d’amender le FISA Act, notamment à l’origine de l’invalidation du privacy shield par la CJUE en 2020, pas plus que le CLOUD Act, pour ne mentionner que ces deux textes phares. L’EO ne fait donc qu’apporter des directives encadrant les conditions d’exercice des prérogatives des agences de renseignement.

Si un executive order ne peut aller contre la loi, à l’inverse, le Congrès ne peut le révoquer, mais il peut en revanche adopter une législation qui en rende l’application impossible. Autant dire qu’un executive order est une denrée réglementaire particulièrement périssable, soumise au fait du prince et ne permettant pas d’amender la législation applicable.

L’article 2 (b) d l’EO fixe une liste de douze objectifs légitimes pouvant être satisfaits au travers de la collecte de cyber renseignements. Si la liste est limitative, les objectifs sont exprimés en revanche de manière extensive, étant entendu que cette liste est évolutive. Le Président peut en effet autoriser des mises à jour de ces objectifs légitimes, à la lumière de nouveaux impératifs de sécurité nationale pour les États-Unis. Ces mises à jour seront publiées par le directeur du renseignement national, à moins que le Président n’estime que pareilles divulgations ne soient risquées pour la sécurité nationale. Autant dire que le contenu de cette liste peut être occulte, constat troublant pour un document supposé instaurer une transparence faisant défaut dans la législation en vigueur.

On retiendra, au titre des prohibitions (section 2 (b) ii), le recueil de renseignements commerciaux privés étrangers ou couvertes par des secrets d’affaires afin d’offrir un avantage concurrentiel aux entreprises des États-Unis. On soulignera que les arrêts Schrems s’étaient intéressés à la surveillance fédérale, sans aborder celle motivée par des finalités de pure intelligence commerciale.

S’agissant de la collecte de masse (section 2 (c) (ii) A), l’EO précise que « la collecte ciblée est priorisée » (« Targeted collection shall be prioritized »), ce principe cède en présence d’une demande motivée de la communauté du renseignement démontrant que les informations nécessaires à la conduite d’une action de renseignement dûment autorisée « ne peuvent raisonnablement pas être obtenues par une collecte ciblée ». Dans ce cas, doivent être prises les mesures techniques raisonnables afin de limiter les données collectées uniquement à ce qui est nécessaire.

On constatera ici que la décision de privilégier une collecte en vrac demeure une décision souveraine des agences de renseignement fondée, en première intention, sur la facilitation de leur action. L’EO apporte toutefois quelques garanties (section 2 iii D). La collecte doit avoir lieu conformément aux utilisations autorisées29 et conformément aux procédures et politiques dont les entités du renseignement doivent se doter aux termes de l’EO30. Il doit être tenu compte, de manière « appropriée », de l’impact sur la vie privée et les libertés civiles.

Si la collecte « en vrac » doit être l’exception, cette dernière fait néanmoins l’objet de développements importants qui ne peuvent faire oublier que l’appréciation de l’importance d’une menace, et de la proportionnalité des mesures nécessaires pour y faire face, demeurent une décision aux mains des autorités US. Il leur appartiendra, unilatéralement, d’apprécier le niveau acceptable d’atteinte aux libertés individuelles. La mesure est donc entièrement entre les mains de ceux qui en sont les bénéficiaires, ce qui n’est peut-être pas la meilleure garantie d’objectivité dans l’appréciation de ce qui est proportionnel.

Si les États-Unis et l’Union européenne semblent être tombés d’accord sur le recours à la proportionnalité, il n’est pas certain que la portée de ce terme soit identique de part et d’autre de l’Atlantique. Certes l’emploi du terme proportion (Section 2 B), préféré à la notion d’« aussi adapté que possible » issue de la PPD2831, est encourageant, mais est-ce reellement suffisant ?

Parmi de nombreuses questions, se pose celle des mesures de collectes préventives. Si la CJUE32 a admis, le 20 septembre 2022, que les États membres puissent être autorisés à prendre des mesures législatives visant « à limiter la portée » des droits et des obligations issus de la directive 2002/58 (respect de la vie privée, confidentialité des communications, effacement des données liées au trafic et à la localisation), ce n’est pas sans limite. Ainsi, s’oppose-t-elle à une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation, réalisée à titre préventif, aux fins de la lutte contre la criminalité grave et la prévention des menaces importantes contre la sécurité publique. Autant dire qu’aux yeux de la CJUE, la limitation apportée au respect de la vie privée n’est concevable que lorsqu’un état affronte une menace grave, réelle, actuelle ou au moins prévisible pour sa sécurité nationale. Entre nécessité et commodité, tout est affaire d’appréciation. Il est bien hasardeux d’envisager quelle sera la lecture que fera la communauté du renseignement US de la nature et l’apleur de ces mesures préventives.

La section 2 (sous-sections (a)(ii) et (a)(iii)) de l’EO mentionne un certain nombre de principes encadrant l’activité de collecte d’informations. Outre la proportionnalité, apparaissent un certain nombre de termes qui ne sont pas sans évoquer le RGPD, encore que leur portée soit différente. Nous retiendrons deux exemples et évoquerons la gouvernance interne des entités du renseignement.

Tout d’abord, la collecte de renseignements doit être autorisée et poursuivre l’un des douze objectifs légitimes énumérés dans l’EO. Les actions de renseignement doivent concourir à la réalisation de l’un de ces objectifs, même de manière lointaine les termes « advances one or more of the legitimate objectives... » laissant entendre que la nécessité n’est pas requise, pourvu que lesdites actions « fassent progresser » un des objectifs identifiés par l’EO. Le recours à ces termes démontre la grande latitude laissée dans l’appréciation de ce qui est proportionné au regard de cet objectif exprimé de manière extensive. Nous sommes loin de l’article 5-1c du RGPD énonçant que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est « nécessaire » au regard des finalités pour lesquelles elles sont traitées.

Par ailleurs, les entités traitant des informations personnelles collectées doivent établir et appliquer des politiques et des procédures conçues pour « minimiser » la diffusion et assurer la conservation de ces informations. Ainsi est mentionnée l’interdiction de diffuser au sein du gouvernement des informations personnelles recueillies par le biais du cyber renseignement, sauf si une personne « a des motifs raisonnables de croire que les informations personnelles seront protégées de manière appropriée et que le destinataire a besoin de connaître les informations ». Le tropisme sécuritaire de l’EO est patent.

La conservation des informations personnelles des « non-United States persons » n’est admise que si cette conservation se déroule de manière comparable à celle concernant des personnes américaines et conduit à l’application de délais identiques. Ce principe d’égalité de traitement est à souligner, bien que concrètement il soit de portée limitée. En effet, les renseignements personnels recueillis pour lesquels aucune décision finale de conservation n’a été prise, demeurent toutefois accessibles notamment afin de conduire des tests, de développement, de sécurité ou de surveillance33. Autant dire que le droit à l’oubli semble être limité, compte tenu des « utilités connexes » des informations recueillies.

On soulignera toutefois que, dans les cinq ans à compter de l’EO, puis tous les cinq ans, le secrétaire d’État au commerce doit interroger la communauté du renseignement afin de savoir si des informations ont été déclassifiées et, en pareil cas, notifier au plaignant, par l’intermédiaire de son autorité publique compétente, que lcelles relatives à l’examen de sa plainte sont disponibles.

Au plus tard le 7 octobre 2023, en liaison notamment avec le procureur général et le Conseil de surveillance de la vie privée et des libertés civiles, les entités du renseignement doivent mettre à jour leurs politiques et procédures afin de s’aligner sur la protection de la vie privée et des libertés civiles garanties par l’EO. À cet égard, chaque entité collectant des renseignements par la voie électromagnétique doit se doter de responsables juridiques, de surveillance et de conformité « de haut niveau » effectuant une surveillance périodique des activités de renseignement, y compris un « inspecteur général ». Ces personnes ne doivent être l’objet d’aucune mesure visant à entraver ou à influencer indûment leur action.

Pour faire bonne mesure, sont prévues des obligations de formation, mais également un dispositif d’alertes internes hiérarchiques au bénéfice des responsables juridique, de surveillance et de conformité en présence d’un « significant incident of non-compliance with applicable United States law ». On notera que cette alerte ne prend en ligne de compte que le droit US, à l’exclusion des règles de portée extraterritoriales applicables aux données collectées, dont notamment celles du RGPD. Reste à savoir si cette gouvernance interne donnera lieu à des rapports publics.

L’EO (section 3) prévoit un dispositif à double niveau. Le premier niveau est celui de l’enquête permettant au Civil Liberties Protection Officer (CLPO) de constater l’existence d’une violation de la protection des données personnelles et, le cas échéant, de prendre des mesures appropriées, y compris en matière de réparation. Le second niveau est constitué par une cour « de révision de la protection de données » (Data Protection Review Court – DPRC).

On retrouve ici la logique qui prévaut pour le CLOUD Act s’agissant des qualifying foreign governement seuls aptes à présenter des recours. Ce statut exige que soit satisfait un ensemble d’exigences en termes de protection des données personnelles des citoyens américains.

L’EO énonce que le procureur général procède à cette désignation après avoir constaté la suffisance des garanties applicables aux données personnelles des citoyens US adressées vers le pays tiers candidat à l’éligibilité. Il est par ailleurs précisé qu’entre également en ligne de compte le fait que cette désignation serve les intérêts des États-Unis. Ce statut peut être révoqué par le procureur général. On imagine que l’état éligible pourrait être, in fine, l’Union européenne.

Est désignée comme telle la plainte qui allègue d’une « violation couverte »34 concernant les données personnelles d’une personne physique pouvant raisonnablement croire35 qu’elles ont été transférées aux États-Unis depuis un État éligible après la date d’entrée en vigueur de la désignation du procureur général pour cet État.

La plainte doit comprendre des informations constituant la base de l’allégation qu’une violation des données personnelles s’est produite, sans pour autant démontrer que les données du plaignant ont effectivement fait l’objet d’activités de renseignement36. La formulation est très large et couvre le spectre d’un doute raisonnable. L’EO se fait toutefois plus précis lorsqu’il demande les moyens spécifiques par lesquels les informations personnelles du plaignant, ou concernant le plaignant, auraient été transmises aux États-Unis37. L’order du procureur général n° 5517-2022 faisant suite à l’EO38 , se fait lui aussi exigeant dans ce domaine et précise que la preuve d’une violation doit être « legally correct and supported by substantial evidence... ». On notera donc un appréciable décalage entre le libéralisme de l’EO dans le domaine probatoire et les exigences formelles du procureur général s’agissant des conditions de recevabilité d’un recours devant la cour de révision (cf. infra). Reste à savoir comment sera apprécié le caractère substantiel des preuves produites dans un domaine où ces dernières sont, par construction, rares eu égard au secret environnant les circonstances de la collecte. On peut redouter que les plaignants ne soient confrontés, in fine, à une probatio diabolicum.

Tout ceci n’est pas d’une absolue cohérence. S’il n’est pas nécessaire de démontrer que les données personnelles ont été ciblées par des activités de renseignement, il faudra toutefois apporter la preuve, non seulement des moyens employés aux fins d’une activité que l’on ne fait que soupçonner, mais indiquer également les entités supposées avoir conduit cette action... Enfin, le requérant devra également évoquer les mesures de réparations qu’il souhaite.

L’EO poursuit en précisant que la demande ne doit pas être frivole (sic) vexatoire ou de mauvaise foi et qu’elle doit être introduite au nom du plaignant, agissant pour son propre compte, et non en tant que représentant d’une organisation gouvernementale, non gouvernementale ou intergouvernementale.

Rien n’est dit sur le caractère exhaustif et obligatoire des informations réclamées à titre de la recevabilité de la demande, la frivolité risquant d’être un moyen bien utile pour rejeter des demandes faites dans un contexte où l’évidence des preuves n’est pas la règle.

Ce nouvel intervenant, qui devra être mis en place dans les 60 jours de la publication de l’EO, est un succédané de l’ombudsman précédemment envisagé par le privacy shield. Sa mission sera d’examiner les informations relatives aux « plaintes éligibles », de déterminer si une violation a eu lieu au regard des impératifs de sécurité nationale en accordant « la déférence appropriée à toute décision pertinente prise par les responsables de la sécurité nationale » (sic)39, de déterminer la réparation adéquate et de rédiger un rapport « classifié » au sujet d’une violation, laquelle sera transmise ensuite à la FISC40.

Le CLPO est indépendant. L’EO indique que le directeur du renseignement national auquel il est rattaché ne doit pas interférer dans l’examen d’une plainte, ni révoquer le CLPO pour toute mesure qu’il prendrait. Par ailleurs, la communauté du renseignement doit laisser ce dernier accéder aux informations nécessaires et se conformer, sous réserve d’un recours, aux décisions du CLPO.

Est-ce suffisant pour répondre aux craintes exprimées au sujet du privacy shield ? Sans doute pas. La mention de la déférence à l’égard des responsables de la sécurité nationale est, per se, troublante car elle laisse entendre une hiérarchie implicite mais bien réelle dans la défense des intérêts en cause. On regrettera également que « la déférence appropriée » ne s’applique pas identiquement aux dispositions légales relatives à la protection des données personnelles et de la vie privée du plaignant. Tout ceci n’est pas de nature à rassurer quant à l’équité dans le traitement des parties et de leurs intérêts respectifs. Par ailleurs, si le CLPO doit appliquer la loi avec impartialité, l’EO se garde bien d’indiquer de quelle loi il s’agit.

Rappelons que, s’agissant du privacy shield, le G2941 se demandait si le médiateur avait un rattachement adéquat dans la mesure où une certaine connaissance et compréhension du fonctionnement de la communauté du renseignement semblait nécessaire, tout en ayant une distance suffisante par rapport à cette dernière afin de pouvoir agir de manière indépendante. Le rattachement du CPLO à la direction du renseignement national n’est pas la manifestation la plus aboutie de cette indépendance.

Les conditions dans lesquelles le CLPO rend sa décision sont, par ailleurs, « baroques ». En effet, le CLPO informera la personne concernée par l’intermédiaire de l’autorité nationale compétente (la CNIL possiblement), sans toutefois confirmer, ni infirmer, que le plaignant a fait l’objet d’activités de renseignement de la part des États-Unis.

La réponse apportée au plaignant sera donc binaire rejet ou admission sans que soit abordée la question de la nature et de l’ampleur de l’atteinte portée à ses droits, rendant ainsi impossible une évaluation sérieuse des éventuelles conséquences dommageables. L’offre d’indemnisation ne pourra donc pas non plus être efficacement évaluée, l’indemnisation allouée reposant sur des critères aux mains des auteurs de l’atteinte dont la réparation est demandée.

Si la décision prise pourra être déférée, par le plaignant ou l’agence concernée, auprès de la Data Protection Review Court (DPRC), le caractère secret de la réalité des opérations de renseignements demeure une constante de cette procédure à double détente.

La section 3 de l’EO ordonne à l’Attorney General d’établir une cour de révision de la protection des données en tant que second niveau du mécanisme de recours mis en place. Un order du procureur général n° 5517-202242 vient en fixer les caractéristiques. Ce « tribunal » aura à connaître des plaintes admissibles déposées par des particuliers, par l’intermédiaire des autorités nationales compétentes. La DPRC sera établie au sein du ministère de la Justice et sera composée de personnes choisies en dehors du gouvernement des États-Unis. La DPRC devra notamment statuer sur le caractère sérieux et étayé de la demande.

L’EO évoque un nouveau « tribunal », mais, à bien y regarder, ce « tribunal » n’en est pas un au regard du droit US, puisque seule la loi fédérale peut créer une juridiction43. Composée d’au moins six juges désignés par le procureur général et rattachée au ministère de la Justice, cette entité évoque davantage une autorité administrative. Est-ce suffisant pour que soit établi un recours effectif, au sens de l’article 13 de la Convention européenne des droits de l’Homme et 47 de la Charte des droits fondamentaux de l’Union européenne ?

L’article 13 vise une « instance » et non une juridiction, tandis que l’article 47 vise le droit à un recours effectif et à l’accès « à un tribunal impartial ». Sous le visa de ce dernier texte, la DPRC n’est pas adéquate. Toutefois, si l’on regarde la pratique européenne, telle que recensée par l’Agence européenne pour les droits fondamentaux44, le recours à des organes non judiciaires, y compris en France45 semble être la règle. Toutefois, comparaison n’est pas raison au regard notamment du fait que les Etats européens partagent dans ce domaine un socle de valeurs et de textes communs qui n’est pas nécessairement celui des États-Unis. En revanche, que l’on vise l’un ou l’autre de ces deux textes, il est certain que la question de l’indépendance de la DPRC se posera avec acuité.

À cet égard, dans son projet de rapport sur la proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, la rapporteure du texte devant le Parlement européen a insisté sur cette exigence d’indépendance en la mentionnant dans l’article 3-a du projet texte46 par la référence à « un juge, une juridiction, un juge d’instruction ou un procureur indépendant compétents dans l’affaire concernée ».

On notera que le Comité européen à la protection des données rappelle47 que la notion de « juridiction » est une notion autonome du droit communautaire et que la CJUE veille au respect du critère d’indépendance48. Cette dernière a notamment souligné, dans son arrêt du 6 octobre 2015, qu’un tribunal « [...] exerce ses fonctions en toute autonomie, sans être soumis à aucun lien hiérarchique ou de subordination à l’égard de quiconque et sans recevoir d’ordres ou d’instructions de quelque origine que ce soit »49. Par ailleurs, ce même tribunal doit être protégé contre les pressions extérieures susceptibles de menacer l’indépendance de ses membres50.

On soulignera que cette cour statuera à huis clos pour des raisons de préservation du secret, les juges statuant sur la base d’un dossier secret auquel le plaignant n’a pas accès. Les délibérations aboutiront soit au constat de l’absence de violation, soit au constat qu’une telle violation a eu lieu (mais sans divulgation de détail) et au prononcé d’une indemnisation. Du point de vue des droits de la défense, tels que nous les connaissons, cette procédure est fort peu orthodoxe.

À cet égard, il n’est pas anodin de souligner que l’order n° 55217 prévoit (§ 201.9 f) qu’avant de déterminer les mesures correctives appropriées, le tribunal, par l’intermédiaire du CPLO qui refait ici surface, prend l’avis de la communauté du renseignement sur les mesures escomptées et leurs impacts sur la sécurité des États-Unis. La question de la réparation intégrale du préjudice et de la prévention de sa réitération se poseront nécessairement, mais sans qu’il y soit apporté de réponse.

On constate que le CPLO n’est pas qu’un « ombudsman 2.0 » mais une véritable courroie de transmission avec la communauté du renseignement, indice faisant planer un doute quant à la distance qui devrait exister entre celle-ci et celui-ci. Par ailleurs, on mesure ici la qualité de la pesée des intérêts en jeu, les préoccupations sécuritaires prédominantes.

La question est fondamentale. La finalité de l’EO est de rétablir la confiance des Européens à l’égard du caractère « substantiellement équivalent à celui garanti au sein de l’Union européenne »51 des garanties qu’il offre s’agissant des données à caractère personnel. Rappelons qu’outre la décision du 20 septembre 202252, la CJUE, par deux arrêts du 6 octobre 202053, a énoncé que le droit de l’Union s’oppose à une réglementation nationale exigeant d’un fournisseur de services de communications électroniques, fut-ce à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. C’est dire le tropisme de la législation européenne en faveur de la protection des données personnelles et de la vie privée.

Face à ceci, la Cour suprême des États-Unis nous enseigne que la protection du quatrième amendement ne bénéficie pas aux « non-US persons », cet amendement requiert un mandat et une sérieuse justification pour toute perquisition ou interception54. Autant dire que la distance séparant ces deux tropismes requérait des talents consommés de diplomatie. Que croyez-vous qu’il arriva ?

En fait de diplomatie, c’est celle de la canonnière qui s’est imposée, le § 201.10 de l’order de l’Attorney General « Guiding principles of law » énonçant que l’EO est interprété par la cour « [...] exclusively in light of United States law and the United States legal tradition, and not any other source of law ». Autant dire que la recherche d’un quelconque compromis n’est pas à l’ordre du jour. Une fois encore, rien de particulièrement surprenant. Souvenons-nous que, s’agissant du CLOUD Act, les États-Unis ont entendu clairement en faire un texte de référence55 ayant pour objet d’aplanir les éventuels conflits de lois avec les états concernés56. Le US Department of justice insista d’ailleurs lourdement sur ce sujet, énonçant que le CLOUD Act « remove restrictions under each country’s laws57 » et soulignant en outre « The only legal effect of a CLOUD agreement is to eliminate the legal conflict for qualifying orders58 ». Le but de suppression de toute entrave légale à la communication d’information59 se retrouve dans l’EO qui ne dévie pas de cette logique d’uniformisation.

Si seul le droit américain a voix au chapitre, quid des conséquences de l’arrêt de la Cour suprême des États-Unis Transunion LLC c/ Ramirez60 ? En peu de mots, cette décision pourrait se résumer par « aucun préjudice concret, aucune qualité pour agir ». Dans un domaine où le préjudice causé par une violation de données personnelles n’est pas nécessairement d’ordre strictement matériel, et dans la mesure où la réparation du préjudice fait l’objet d’une grande opacité, cette jurisprudence si, elle était appliquée par la DPRC, pourrait conduire à vider de sa substance toute la partie indemnitaire de l’EO.

Une fois encore, se mesure la distance avec une décision de la CJUE 8 avril 201461 ayant affirmé que « la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, [...] le sentiment que leur vie privée fait l’objet d’une surveillance constante62 ». L’EO ne laisse, semble-t-il, guère de place pour ce genre de sentiment.

Sur ce dernier point, il convient d’être toutefois prudent. Le 6 octobre 2022, l’avocat général Campos Sánchez-Bordona a examiné la question du préjudice moral à l’aune du RGPD63. À cette occasion, ce dernier a estimé qu’une violation du RGPD est, per se, insuffisante pour demander une indemnisation faute d’un préjudice matériel ou moral64, de même qu’est rejetée l’octroi de dommages-intérêts punitifs65. L’avis considère également que le droit à l’indemnisation en vertu du RGPD ne couvre pas les « ennuis ou contrariétés » causées par l’infraction66. Toutefois, l’avis laisse aux juridictions nationales le soin de déterminer à quel moment le fait d’être « contrarié » conduit à un dommage moral qui pourrait être indemnisable en fonction d’un seuil à déterminer. La décision à intervenir sur ce sujet est du plus grand intérêt et permettra d’évaluer une éventuelle convergence avec la jurisprudence de la Cour suprême.

On achèvera ce tour d’horizon de l’EO par le statut de « l’avocat spécial » choisi par la DPRC « pour défendre l’intérêt du plaignant dans l’affaire » (section 3 (E) (3)). Cet avocat spécial a pour mission d’assister la cour dans son examen de la demande de révision, notamment en plaidant en faveur de l’intérêt du plaignant dans l’affaire et en veillant à ce que la cour soit informée des problèmes et de la loi (au singulier) en la matière (section 3(d)(i)(C)). L’order de l’Attorney General donne un éclairage différent du rôle de cet avocat (II - Discussion of rule).

L’avocat spécial ne sera pas « l’agent » du plaignant et n’aura pas de relation avocat-client avec ce dernier. Dans l’intérêt de la sécurité nationale, il sera soumis à des restrictions en matière de communication avec le plaignant et son avocat (« le vrai », si l’on ose dire) afin de garantir que les informations classifiées, y compris le fait que le plaignant ait été ou non soumis à des activités de renseignement, ne soient pas divulguées.

L’exercice de funambulisme procédural se poursuit avec cet « avocat quantique » qui est tout à fois avocat du plaignant et conseil de la cour, dont la raison d’être essentiel est de maintenir la muraille de Chine entre les informations sensibles et le plaignant, quand bien même ces dernières le concerneraient. Ici encore, la transparence et l’équilibre procédurale y perdent ce qu’y gagne la préservation d’informations classifiées.

Et ensuite ? L’EO a donné le coup d’envoi aux travaux de la Commission relatifs à une décision d’adéquation statuant sur le caractère substantiellement équivalent des garanties ainsi offertes. Le CEPD devra être consulté, sans que son avis soit contraignant. Le printemps 2023 devrait être l’horizon de la publication de ce nouveau privacy shield. Maximilian Schrems a déjà fait savoir que la saisine de la CJUE était probable. Le vrai test pourrait être la révision du FISA Act attendue fin 2023. Les modifications apportées à cette loi pourraient être un indicateur de la volonté pour les États-Unis de faire évoluer leurs pratiques dans le domaine de la cyber collecte de renseignements.

En attendant, en dépit de ses imperfections, l’EO sera certainement un élément à prendre en considération dans l’exercice d’évaluation du droit US auquel doivent se livrer les entreprises devant partager leurs données avec des entreprises sous juridiction américaine. Pour mémoire, l’évaluation des législations ou « pratique » des pays tiers pouvant avoir une incidence sur l’efficacité des garanties appropriées des outils de transfert est prévue par les recommandation du CEPD 01-202067. n

À retrouver dans la revue
Banque et Droit Nº206
Notes :
1 Communiqué de presse de la Commission européenne (https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087) et fact sheet de la Maison Blanche (https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/)
2 https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
3 Foreign Intelligence Surveillance Act (FISA) dont la section 702 permet au procureur général et au directeur du renseignement national d’autoriser conjointement, après approbation du FISC (US Foreign Intelligence Surveillance Court, tribunal de surveillance du renseignement extérieur des États-Unis), la collecte d’« informations en matière de renseignement extérieur », s’agissant de la surveillance de ressortissants non américains se trouvant en dehors du territoire des États-Unis sur la base de programmes globaux de surveillance.
4 Clarifying Lawful Overseas Use of Data Act du 23 mars 2018 (ou CLOUD Act), qui doit simplifier et modifier la procédure d’accès aux preuves en matière de lutte contre les serious crimes.
5 Définition des objectifs, rôles et responsabilités de la Communauté du renseignement des États-Unis.
6 Presidential Policy directive 28 (17 janvier 2014) imposant un certain nombre de limitations pour les opérations de « renseignement d’origine électromagnétique ».
7 Civil Liberties Protection Officer of the Office of the Director of National Intelligence (ODNI CLPO).
8 CJUE 6 octobre 2015, Schrems c/ Irish Data Protection Commissionner, C-362/14.
9 Suivant en cela les conclusions remarquées de l’Avocat général Yves Bot en date du 23 septembre 2015.
10 Déjà, la CJUE, le 8 avril 2014 (Digital Rights Ireland et Seitlinger e. a, aff. C-293/12 et C-594/12.AJDA 2014. 773, 1147), avait purement et simplement invalidé, en son entier, la directive 2006/24 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications ; Chron. M. Aubert, E. Broussy et H. Cassagnabère, D. 2014, 1355, note C. Castets-Renard, ibid. 2317, obs. J. Larrieu, C. C. le Stanc et P. Tréfigny.
11 Communication de la Commission faite au Parlement européen et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire COM(2013) 847.
12 Résolution sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d’affaires intérieures.
13 Décision d’exécution 2016/1250 de la Commission du 12 juillet relative à l’adéquation de la protection assurée par le bouclier de protection des données Union européenne-États-Unis – Cadre applicable depuis le 1er août 2016.
14 Opinion 01/2016 on the EU – U.S. Privacy ShieldPrivacy Shield draft adequacy decision.
15 https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619.
16 Report from the Commission to the European Parliament and the Council on the third annual review of the functioning of the EU-U.S. Privacy Shield Privacy Shield - SWD(2019) 390 final.
17 Arrêt dans l’affaire C-311/18, Data Protection Commissioner c/ Maximillian Schrems et Facebook Ireland (arrêt Schrems II).
18 § 105 de la décision Schrems II.
19 Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
20 Contrats types validés par la Commission Européenne permettant le transfert de données personnelles d’un « exportateur » européen vers un « importateur » non européen - Article 46 (2) c) et d) du RGPD) - Les CCT ont été adoptées le 5 février 2010 pour les transferts de données personnelles entre un responsable du traitement et un sous-traitant (2010/87/UE) et le 27 décembre 2004 pour les transferts de données personnelles entre deux responsables du traitement (2004/915/CE).
21 S’agissant des transferts des données personnelles vers un sous-traitant.
22 https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF
23 https://www.commerce.gov/about/letter-deputy-assistant-secretary-james-sullivan-schrems-ii-decision
24 « À l’instar des nations européennes et d’autres pays, les États-Unis mènent des activités de collecte de renseignements pour s’assurer que les décideurs en matière de sécurité nationale et de politique étrangère ont accès à des informations opportunes, précises et perspicaces sur les menaces que représentent les terroristes, les criminels, les cyberpirates et autres acteurs malveillants. »
25 Executive order on Enhancing Public Safety in the Interior of the United States.
26 https://www.congress.gov/114/plaws/publ126/PLAW-114publ126.pdf
27 Cf le site de l’American Bar Association : https://www.americanbar.org/groups/public_education/publications/teaching-legal-docs/what-is-an-executive-order-/
28 Définie par l’EO comme étant une collecte autorisée de grandes quantités de données de renseignement électromagnétique qui, en raison de considérations techniques ou opérationnelles, sont acquises sans l’utilisation de discriminants (par exemple, sans l’utilisation d’identifiants ou de termes de sélection spécifiques).
29 Sous-section C (ii) B.
30 Sous- Section C iv
31 Presidential Policy directive 28 (17 janvier 2014) imposant un certain nombre de limitations pour les opérations de « renseignement d’origine électromagnétique ».
32 CJUE Affaires C-399/20, C-397/20, C-793/19, C794/19.
33 « [...] shall ensure that personal information collected through signals intelligence for which no final retention determination has been made is accessed only in order to make or support such a determination or to conduct authorized administrative, testing, development, security, or oversight functions ».
34 Violation issue d’activités de cyber-renseignement menées après le 7 octobre 2022 concernant des données transférées aux États-Unis depuis un État éligible après la date d’entrée en vigueur de la désignation par le procureur général de cet État, comme prévu à l’article 3(f)(i).
35 « [...] Reasonably believed to have been transferred to the United States from a qualifying state ».
36 « (ii) includes the following basic information to enable a review: information that forms the basis for alleging that a covered violation has occurred, which need not demonstrate that the complainant’s data has in fact been subject to United States signals intelligence activities ».
37 « The specific means by which personal information of or about the complainant was believed to have been transmitted to the United States ». Sont aussi mentionnés l’identité des entités gouvernementales des États-Unis soupçonnées d’être impliquées dans la violation alléguée (si elles sont connues).
38 https://www.justice.gov/opcl/redress-data-protection-review-court.
39 « (ii) giving appropriate deference to any relevant determinations made by national security officials [...] ».
40 La Foreign Intelligence Surveillance Court examine les demandes présentées par le gouvernement des États-Unis en vue d’obtenir l’autorisation de procéder à une surveillance électronique, à une perquisition et à certaines autres formes d’actions d’investigation à des fins de renseignement hors des États-Unis.
41 Opinion du 13 avril 2016, n° 01/2016 on the EU – U.S. Privacy Shield Draft Adequacy Decision, spéc. p 49.
42 https://www.justice.gov/opcl/redress-data-protection-review-court.
43 Article III, section 1, de la constitution US.
44 La surveillance par les services de renseignement : garanties des droits fondamentaux et voies de recours dans l’Union européenne - Volume II (2017).
45 L’article L. 801-1 du Code de la sécurité intérieure vise la Commission nationale de contrôle des techniques de renseignement (CNCTR). Cette dernière peut être saisie d’une réclamation de toute personne souhaitant vérifier qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard (art. L. 833-4).
46 Page 75 du rapport : http://www.europarl.europa.eu/doceo/document/LIBE-PR-642987_FR.pdf
47 Opinion 23/2018 on Commission proposals on European Production and Preservation Orders for electronic evidence in criminal matters (Art. 70.1.b) - Adopted on 26 September 2018, spéc. p. 14.
48 CJUE 6 octobre 2015, aff. C‑203/14.
49 Cf. arrêt Torresi, C-58/13 et C-59/13, EU:C:2014:2088, point 22.
50 Arrêts de la CJUE Wilson, C-506/04, EU:C:2006:587, point 51, et TDC, C-222/13, EU:2014:2265, point 30.
51 § 105 de la décision Schrems II.
52 SV. supra note 35.
53 Adoptés en Grande Chambre : Affaire C-623/17, Privacy International, et affaires jointes, C-5 11/18, La Quadrature du Net e.a ; C-512/18, French Data Network e.a, et C-520/18, Ordre des barreaux francophones et germanophone e.a.
54 Notamment : Cour suprême des États-Unis de février 2013, Amnesty et al. vs. Director of National Intelligence. Le juge Alito dans son opinion majoritaire a estimé que les intimés ne peuvent pas se fabriquer une qualité pour agir « simplement en s’infligeant un préjudice sur la base de leurs craintes d’un préjudice futur hypothétique qui n’est certainement pas imminent »
55 « The CLOUD Act thus represents a new paradigm » : Department of Justice, White Paper, April 2019 - www.justice.gov/CLOUDAct : introduction et Frequently Asked Questions – 1 : What was the purpose of the CLOUD Act ?
56 Ibid., question p. 5: « CLOUD Act agreements will reduce the burden on the MLAT system ». Le DOJ précise à cet égard que le CLOUD Act permettra d’aplanir les conflits de lois « without fear of a conflict between the two parties’ laws »
57 White paper, p. 3.
58 DOJ white paper, p. 5.
59 « Both the United States and any partner in a CLOUD Act agreement would agree to remove legal restrictions to providers compliance with orders issued under the agreement in circumstances both countries find appropriate » – (DOJ white paper - FAQ § 4).
60 Décision du 25 juin 2021.
61 CJUE, Grande Chambre, Digital Rights Ireland Ltd & Michael Seitlinger e.a., affaires jointes C-293/12 & C-594/12. Chron. M. Aubert, E. Broussy et H. Cassagnabère, D. 2014, 1355, note C. Castets-Renard, ibid. 2317, obs. J. Larrieu, C. C. le Stanc et P. Tréfigny
62 Ibid. § 37.
63 Conclusions dans l’affaire C-300/21, UI c/ Österreichische Post AG.
64 § 27 des conclusions : « L’argument selon lequel il existe un droit à réparation alors même que la personne concernée n’a pas subi de dommage du fait de la violation du GDPR crée des difficultés évidentes, à commencer par celle liée au libellé de l’article 82, paragraphe 1, du RGPD ».
65 § 39 des conclusions.
66 § 112 des conclusions « In addition, the right to compensation under Article 82(1) of the GDPR does not appear to me to be a suitable instrument for countering infringements in connection with the processing of personal data where all those infringements create for the data subject is annoyance or upset ».
67 Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’Union européenne adoptées le 10 novembre 2020, § 28 à 44.