Le vendredi 7 octobre dernier, le président Biden a signé un Décret exécutif décrivant les mesures qui seront mises en œuvre par les Etats-Unis pour se conformer à ses engagements définis dans le cadre transatlantique de confidentialité des données entre l’Union Européenne et les Etats-Unis.
Pour rappel, le nouveau cadre transatlantique de confidentialité annoncé en mars dernier a été élaboré en réponse à l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 16 juillet 2020 dit « Schrems II » (CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18) invalidant le Privacy Shield sur lequel reposait auparavant les transferts de données entre l’Union Européenne et les USA.
Dans cette décision, la CJUE avait ainsi considéré que le droit applicable aux États-Unis ne permettait pas de garantir un niveau de protection des données personnelles équivalent aux exigences applicables dans l’UE, notamment du fait de la section 702 du FISA et de l’Executive Order 12333.
En effet, en application de ces dispositions, toute société américaine est soumise aux éventuelles injonctions des services de renseignement américains, lesquelles s’analysent comme des divulgations non autorisées de données au sens de l’article 48 du RGPD, dès lors qu’elles ne se fondent sur aucun accord international ou traité d’entraide judiciaire et qu’elles ne peuvent s’inscrire dans aucune des dispositions du chapitre V. du RGPD.
Trans-Atlantic Data Privacy Framework, engagements des États-Unis
En réplique à l’invalidation du Privacy Shield et face aux enjeux liés à la protection des données, les USA ont par conséquent pris un certain nombre d’engagements dans le cadre du « Trans-Atlantic Data Privacy Framework » (cadre transatlantique de confidentialité des données) annoncé en mars dernier, parmi lesquels :
- Renforcer les garanties de confidentialité et de libertés civiles régissant les activités de renseignement d’origine électromagnétique des États-Unis ;
- Établir un nouveau mécanisme de recours doté d’une autorité indépendante et contraignante ;
- Améliorer sa surveillance rigoureuse et multidimensionnelle actuelle des activités de renseignement d’origine électromagnétique.
- Ajouter des garanties supplémentaires pour les activités de renseignement d’origine électromagnétiques des États-Unis, en exigeant que ces activités soient menées uniquement dans la poursuite d’objectifs de sécurité nationale définis ; prendre en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence ; et être menées uniquement lorsque cela est nécessaire pour faire avancer une priorité validée en matière de renseignement et uniquement dans la mesure et d’une manière proportionnées à cette priorité ;
- Rendre obligatoire le traitement des informations personnelles collectées par le biais d’activités de renseignement d’origine électromagnétique et étendre les responsabilités des responsables juridiques, de la surveillance et de la conformité afin de garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité ;
- Exiger que les services de renseignement Américains mettent à jour leurs politiques et procédures afin de refléter les nouvelles mesures de protection de la vie privée et des libertés civiles contenues dans le décret exécutif ;
- Créer un mécanisme à plusieurs niveaux pour les individus des États éligibles et des organisations d’intégration économique régionale, tels que désignés conformément au décret exécutif, pour obtenir un examen indépendant et contraignant et une réparation de leurs réclamations en cas de traitement de leurs données en violations des dispositions légales américaines ;
- Demander au « Privacy and Civil Liberties Oversight Board » d’examiner les politiques et les procédures de l’ « Intelligence Community » pour s’assurer qu’elles sont conformes au décret et de procéder à un examen annuel du processus de recours, notamment pour vérifier si l’Intelligence Community s’est pleinement conformée aux décisions prises par le CLPO (Civil Liberties Protection Officer) et le DPRC (Data Protection Review Court).
L’objectif poursuivi par la mise en place de ces mesures est de fournir à la Commission Européenne une base pour lui permettre d’adopter une nouvelle décision d’adéquation, qui rétablira un mécanisme de transfert des données accessible et abordable, en conformité avec les dispositions de la réglementation européenne sur la protection des données.
Ces mesures seront également de nature à apporter une plus grande sécurité juridique aux entreprises qui fondent leurs transferts de données vers les Etats-Unis sur les clauses contractuelles types de la Commission européenne ou les règles d’entreprises contraignantes.
Mark SURMAN, Avocat
