Le transfert des données à caractère personnel depuis l’Europe vers les États-Unis : où en est le projet de décision d’adéquation de la Commission européenne ?

Alors que l’on vient d’apprendre que l’autorité de contrôle irlandaise a rendu une décision historique en condamnant Meta à une amende administrative record de 1,2 milliard d’euros pour avoir réalisé des transferts de données à caractère personnel vers les États-Unis, en violation de l’article 46 du RGPD, l’état d’avancement du nouveau projet d’adéquation de la Commission européenne, dont l’adoption permettrait de restaurer un libre transfert des données vers les entreprises américaines adhérant au cadre proposé, est plus que jamais scruté ; or celui-ci ne paraît pas encore de nature à satisfaire les attentes européennes.

1. Schrems I – Sous l’impulsion du désormais célèbre Maximilien Schrems, la Cour de justice de l’Union euro­péenne (CJUE) a invalidé, dans un arrêt du 6 octobre 2015 communément appelé « Schrems I »¹, la décision dite d’« adéquation » par laquelle la Commission européenne avait reconnu que le système dit Safe Harbor assurait un niveau de protection « adéquat » aux données qui étaient transmises aux entreprises américaines y adhérant.
2. Schrems II – Cette invalidation a conduit la Commission à renégocier avec les États-Unis un nouveau système baptisé Privacy Shield, dont la Commission a reconnu le caractère adéquat par une seconde décision d’adéquation qui fut elle aussi contestée, à l’initiative de M. Schrems, et invalidée par la CJUE dans un arrêt du 16 juillet 2020² immédia­tement baptisé « Schrems II ».
3. Situation résultante– Cette seconde invalidation a obligé les exportateurs européens de données à fonder à nouveau leurs transferts de données vers les États-Unis sur l’une des garanties énoncées à l’article 46 du règlement général sur la protection des données (RGPD) – au premier chef les clauses contractuelles types adoptées par la Commission européenne – ou encore sur l’une des dérogations pour situation particulière prévues à l’article 49 du règlement.

Mais l’autre apport de l’arrêt Schrems II a rendu singulièrement plus complexe le recours à ces alternatives : il s’agit de la nécessité de déterminer, en outre, si un risque existe que les autorités publiques du pays de destination puissent intercepter les données et, dans l’affirmative, d’adopter des mesures supplémentaires de nature à neutraliser ce risque.

Il était donc attendu de la Commission européenne qu’elle reprenne des négociations avec les autorités américaines en vue de l’adoption d’un nouveau programme pouvant bénéficier d’une décision d’adéquation.

4. Un nouveau projet – En mars 2022, la Commission a annoncé avoir conclu avec les États-Unis un accord de principe quant à un projet de « cadre transatlantique de protection des données personnelles » ayant vocation à constituer l’armature d’un nouveau cadre juridique pour les transferts de données depuis l’Europe vers les États-Unis. Cet accord de principe a débouché, le 13 décembre 2022, sur la publication³ d’un projet de décision d’adéquation dont les annexes constituent le nouveau Data Privacy Framework (DPF) devant s’appliquer aux organisations américaines qui se seront autocertifiées conformément aux exigences posées par ce cadre.

En application de l’article 70(1)(s) du RGPD, la Commission a requis sur ce projet de décision l’avis du Comité européen de la protection des données (CEPD), lequel a été rendu le 28 février 2023⁴. Dans quelle mesure la Commission a-t-elle réussi à convaincre l’expert européen de la protection des données à carac­tère personnel que son nouveau projet est adéquat ?

Procédant à une analyse méthodique du nouveau cadre proposé, le CEPD a relevé des améliorations par rapport au système antérieur, mais aussi, et surtout, des interrogations et des points d’inquiétude.

5. Les points de satisfaction – Au titre des améliorations, le CEPD relève que l’executive order(EO) 14086⁵, publié par le président américain en octobre 2022 et visant à remédier aux défauts soulevés par la CJUE dans son arrêt Schrems II, constitue un progrès notable par rapport au cadre antérieur.

Les mesures de sauvegardes additionnelles prévues par cet EO sont jugées en effet constituer une « amélioration significative », de même que l’introduction des concepts de nécessité et de proportionnalité dans l’encadrement juridique de l’activité des agences de renseignement ; le CEPD se satisfait aussi de ce que cet EO prévoit une liste de finalités spécifiques pour lesquelles une collecte de données ne peut avoir lieu.

Le CEPD voit également comme une amélioration significative par rapport au mécanisme de l’Ombudsperson du Privacy Shield la création par cet ordre exécutif d’un nouveau mécanisme de recours pour les personnes concernées non américaines. Ce mécanisme s’articule en deux temps : le dépôt d’une plainte devant le Civil Liberties Protection Officier of the Office of the Director of National Intelligence (CLPO), puis une possibilité de faire appel devant un nouvel organisme, la Data Protection Review Court (DPRC). Le CEPD salue les pouvoirs plus étendus conférés à cette Cour pour remédier aux éventuelles violations constatées ainsi que son indépendance accrue en comparaison du système de l’Ombudsperson. Il reconnaît également l’amélioration tenant aux garanties supplémentaires prévues dans le nouveau mécanisme de recours, telles que le rôle des avocats spéciaux, qui comprend la défense des intérêts du plaignant, ainsi que l’examen du mécanisme de recours par le Privacy and Civil Liberties Oversight Board (PCLOB).

6. Les points d’inquiétude– Si les progrès sont avérés et reconnus comme tels, le CEPD relève néanmoins de nombreux points méritant « clarification »et « attention », voire suscitant « l’inquiétude ».

D’un point de vue formel, le CEPD relève que la présentation des annexes et leur numérotation rendent complexe la présentation du Data Privacy Framework ; cette remarque n’est pas sans rappeler l’exigence de clarté et de lisibilité qui pèse sur les responsables de traitement lorsqu’ils fournissent une information aux personnes concernées. L’essentiel des remarques du CEPD a néanmoins trait au fond.

Sur la base de l’expérience du Safe Harbor puis du Privacy Shield, le CEPD se montre tout d’abord réservé quant au mécanisme d’autocertification sur lequel repose le système et s’inquiète de son contrôle effectif.

Quant aux principes applicables, le CEPD note que si le projet de décision d’adéquation modifie et ajoute des explications dans ses considérants, les principes du Data Privacy Framework auxquels les « organisations DPF » doivent adhérer restent cependant en substance les mêmes que ceux qui étaient applicables sous le Privacy Shield. Or, ces principes ont déjà fait l’objet d’une analyse par le G29⁶ à l’époque où le projet du Privacy Shield était discuté, et le CEPD constate que des inquiétudes sur un ensemble de points clés déjà identifiés alors subsistent toujours.

Parmi ces points, le Comité relève que la définition de certains termes essentiels, comme celle d’« agent » et de « processor », n’est pas spécifiée et que la terminologie n’est généralement pas utilisée de manière univoque dans le DPF. Le CEPD observe également que la mesure dans laquelle les principes du DPF s’appliquent aux impor­tateurs agissant seulement en qualité de sous-traitant n’est pas claire, dans la mesure où le DPF ne distingue pas les principes applicables à ces derniers de ceux applicables aux responsables du traitement, certains n’étant manifestement applicables qu’à ceux-ci.

Un autre point d’attention est pour le CEDP que les restrictions à l’exportation des données vers un pays tiers devraient être clarifiées par la Commission.

S’agissant des « droits des personnes concernées », le CEPD note que les principes relatifs au droit d’accès, identiques à ceux inscrits dans le Privacy Shield, font l’objet des mêmes critiques qu’à l’époque de l’adoption de cette précédente décision : ce droit d’accès est conçu d’une manière étriquée trop favorable à l’importateur ; il est par ailleurs neutralisé dans l’hypothèse où l’information est publique ou bien figure dans des registres publics, ce que le CEPD regrette en faisant valoir que la personne concernée perd alors la possibilité de contrôler l’exactitude des données et de vérifier si les données ont été légalement rendues publiques en premier lieu. Les modalités du droit d’opposition sont jugées insuffi­samment précisées et l’hypothèse d’un intérêt légitime impérieux de la personne concernée au regard de sa situation particulière n’est pas pris en compte. Le CEPD s’inquiète également du fait que les règles sur les décisions individuelles automatisées et le profilage semblent varier, lorsqu’elles existent, selon les secteurs considérés ; il estime aussi que des règles spécifiques pour ces prises de décision individuelles automatisées sont nécessaires afin de fournir des garanties suffisantes, y compris le droit de la personne concernée de connaître la logique utilisée, de contester la décision et d’obtenir une intervention humaine quand la décision l’affecte d’une façon significative.

Quant à la mise en œuvre des principes formulés dans le DPF, le CEPD recommande que la décision d’adéquation soit rendue conditionnelle à l’adoption par les agences de renseignement américaines de politiques et de procé­dures de mise en œuvre de l’EO 14086, qui devront de surcroît être surveillées par la Commission.

La portée des exceptions prévues à l’obligation de respecter les principes du DPF (comply with a court order ; public interest ; law enforcement ; national security requirement) devrait également être clarifiée.

Parmi les points méritant attention figurent également les règles applicables à la « collecte temporaire en masse »⁷ sous le régime de l’actuel EO 12333, ainsi que la rétention et la dissémination de ces données dans le système juridique américain. Cette collecte, notamment, ne répond pas à l’exigence d’une autorisation préalable par une autorité indépendante, telle que requise dans la juris­prudence la plus récente de la Cour européenne des droits de l’homme (CEDH), ni à l’exigence d’un examen indépendant systématique a posteriori par un tribunal ou un organisme équivalent. En ce qui concerne l’autorisation indépendante préalable de la surveillance au titre de la section 702 du FISA (Foreign Intelligence Surveillance Act), le CEPD regrette que la FISA Court (FISC) n’examine pas la conformité d’une demande de programme avec l’EO 14086 lorsqu’elle certifie le programme autorisant le ciblage de personnes non américaines, alors que les auto­rités de renseignement qui exécutent le programme sont liées par cet EO. Selon le Comité, les garanties supplémentaires contenues dans cette ordon­nance devraient néanmoins être prises en compte, y compris par la FISC.

L’essentiel des autres remarques du CEPD a trait au mécanisme de recours prévu par le Data Privacy Framework.

Le Comité considère que le premier niveau du méca­nisme de recours n’est pas investi d’un degré d’indé­pendance suffisant pour satisfaire aux exigences de l’article 47 de la Charte de l’Union européenne sur le droit à un recours effectif et à l’accès à un tribunal impartial. Les personnes concernées sont également censées soumettre leur plainte, via une autorité nationale européenne compétente, pour tout ce qui touche aux questions de sécurité nationale ou de traitement de données par des autorités publiques, ce que le CEPD regrette au regard de la diversité des situations en Europe à cet égard.

Quant au second niveau, le Comité relève que si la Data Protection Review Court est qualifiée de « Cour », elle est établie par un executive order, ce qui présente certains avantages, mais peut susciter une inquiétude quant à son indépendance réelle par rapport à l’exécutif ; le CEPD recommande à cet égard à la Commission de surveiller la mise en œuvre concrète des règles qui sont destinées à assurer son indépendance. Le CEPD s’inquiète également de la manière dont la DPRC statue. Le plaignant n’aura en effet pas le droit de savoir s’il a suscité l’intérêt des services de renseignement, mais simplement celui d’être informé, soit de ce qu’aucune violation couverte par le DPF n’a été identifiée, soit qu’une décision exigeant un remède approprié a été prise, la décision n’étant pas susceptible de recours. Le CEPD s’inquiète enfin de l’incertitude sur ce qui pourra constituer ce que l’EO 14086 qualifie de « remède approprié » pour la personne concernée lorsqu’une violation est constatée.

On voit ainsi que, dans l’ensemble, si le CEPD n’hésite pas à souligner les améliorations importantes apportées au système du Privacy Shield, il regrette que certains sujets de préoccupation, identifiés avant l’adoption de ce dernier, ne soient toujours pas pris en compte, et souligne d’autres motifs de préoccupation quant au nouveau cadre proposé.

7. L’opinion du Parlement européen– La Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a quant à elle fait preuve de moins de subtilité dans l’expression de son opinion sur le projet de décision d’adéquation : dans un document de travail daté du 14 février 2023⁸, elle a estimé que ce projet « échoue à proposer une véritable équivalence dans le niveau de protection »requis par le droit européen de la protection des données et de la Charte de l’Union européenne telle qu’interprétée par la CJUE.

Cette opinion vient d’être reprise par le Parlement européen dans une résolution⁹ du 11 mai 2023 adoptée à la faveur de 306 voix pour, 27 contre et 231 abstentions.

Le Parlement estime que si les États-Unis ont fait preuve d’un engagement certain pour améliorer les règles et remèdes applicables au traitement de données par les autorités publiques américaines, les principes du Privacy Shield n’ont pas été suffisamment amendés pour assurer la protection équivalente requise. Par ailleurs, étant donné que, d’une part, les services américains de renseignement ont jusqu’en octobre 2023 pour mettre à jour leurs politiques et pratiques afin de se conformer à l’EO 14086, et que, d’autre part, l’avocat général américain doit encore désigner l’Union européenne et ses États membres comme des pays remplissant les conditions requises pour avoir accès à la DPRC, la Commission n’était pas en mesure d’évaluer « en pratique » l’efficacité des mesures correctives et des mesures proposées en matière d’accès aux données. Il en conclut que la Commission ne saurait adopter une décision d’adéquation que lorsque les États-Unis auront d’abord respecté ces délais, et franchi ces étapes, afin de garantir que les engagements ont été tenus dans la pratique.

Si cette résolution a été adoptée par un vote à l’occasion duquel de nombreux parlementaires se sont abstenus, on peut toutefois raisonnablement penser que cette circonstance n’enlève rien à son poids politique et médiatique, d’autant plus que cette résolution « négative » vient s’ajouter aux réserves précédemment exposées du CEPD, l’expert européen en matière de protection des données.

8. Situation de la Commission – La Commission euro­péenne se trouve dans une position délicate, même si chacune des institutions précitées a su laisser des « portes ouvertes » à l’adoption d’une décision d’adéquation qui puisse être satisfaisante à leurs yeux.

Ne tenir aucun compte des recommandations et inquié­tudes formulées serait sans doute trop dangereux, car une potentielle troisième invalidation par la CJUE d’une décision d’adéquation rendue en faveur du cadre transatlantique élaboré par ses soins serait assez infa­mante. Ne rien faire serait d’autant plus dangereux que l’on peut nourrir de réelles interrogations sur la manière concrète dont les agences américaines mettront en œuvre l’EO 14086, de même que sur la capacité du nouveau mécanisme de recours proposé à satisfaire en l’état aux exigences de l’article 47 de la Charte de l’UE tel qu’interprété par la CJUE.

Il est donc probable que la Commission attende au minimum d’obtenir des précisions de la part de la communauté du renseignement américain sur la manière dont cette dernière entend mettre en œuvre les nouvelles garanties prévues par l’ordre exécutif 14086 ; il lui sera sans doute plus difficile d’obtenir une amélioration du mécanisme de recours négocié avec les autorités américaines, même si l’on ne peut évidemment l’exclure.

9. Pourquoi tant de difficultés ?– Toute cette discussion s’inscrit sur une toile de fond que l’on perd de vue à force de se focaliser sur les aspects techniques des systèmes successivement proposés. Il n’est pas inutile de rappeler le contexte tant on peut penser qu’il est à l’origine des difficultés constatées depuis une dizaine d’années.

Si le CEPD, à la suite de la CJUE, insiste sur le fait qu’on ne saurait exiger d’un pays tiers, pour qu’il puisse faire l’objet d’une décision d’adéquation, qu’il adopte un système de protection des données « identique » à celui de l’Union européenne, il reste que l’on peut raisonnablement imputer la difficulté de la Commission et des autorités américaines à créer un cadre qui puisse être considéré comme satisfaisant par la CJUE aux différences de fond trop importantes entre les États-Unis et l’Europe quant à l’impératif et à la manière de protéger les données à caractère personnel.

Là où l’Europe s’est dotée d’une législation générale et uniforme protégeant par principe toute donnée qualifiable de « donnée à caractère personnel », les États-Unis ne connaissent majoritairement que des protections sectorielles. Certains États ont certes adopté des textes plus généraux, mais on ne saurait dire pour la plupart qu’ils confèrent une protection comparable à celle que garantit le RGPD ; au demeurant, des exceptions réduisent leur champ d’application et, même lorsqu’ils se trouvent applicables, les conséquences d’une violation ne sont pas nécessairement dissuasives.

Si l’approche sectorielle peut à la rigueur s’expliquer par une différence de culture juridique – la Common Law fonctionne en réglant des cas particuliers plutôt qu’en posant des règles générales –, les autres aspects s’expliquent fondamentalement par le fait que les États-Unis voient dans une protection de type euro­péen non seulement une protection trop absolue des données à caractère personnel, mais aussi et surtout un frein à l’activité économique et à la prospérité : il s’agit pour les entreprises d’une dépense vue comme compromettant inutilement leur compétitivité. À cela, il faut ajouter que les États-Unis sont historiquement hostiles à tout engagement international restreignant leur liberté d’action ; or, il est ici question de refréner l’action de leurs puissants services de renseignement.

Ceci a pour conséquence, en somme, que les États-Unis ne cherchent pas tant à se rapprocher des principes européens de la protection des données qu’à créer dans leur système juridique un régime spécial propre à contenter les exigences européennes, mais dans les limites les plus strictes par rapport à leurs propres conceptions. On s’expli­que alors qu’il ne soit pas sûr que le troisième projet proposé présente enfin toutes les garanties requises par la CJUE : l’expérience montre que chaque évolution dans le sens requis par l’Europe semble être une concession arrachée et, en conséquence, insuffisamment complète pour remplir pleinement l’exigence qu’elle a pour objet de satisfaire.

Cette différence de culture en matière de protection des données, au-delà des points techniques soulevés par le CEPD et les membres du Parlement européen, explique fondamentalement la difficulté de l’exécutif américain et de la Commission à mettre en place un système pouvant satisfaire la CJUE… et Maximilien Schrems, dont on ne saurait douter qu’il prêtera son nom à un troisième arrêt de la Cour de justice sur la question.

Sources :

1. CJUE, 6 octobre 2015, C-392/14, Maximilian Schrems v Data Protection Commissioner.
2. CJUE, 16 juillet 2020, C-311/18, Data Protection Commissionner c. Facebook Ireland Ltd, Maximilian Schrems.
3. Voir le site de la Commission européenne, commission.europa.eu
4. Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework.
5. Executive Order 14086—Enhancing Safeguards for United States Signals Intelligence Activities, Oct. 7^th 2022.
6. Le groupe de travail de l’article 29 ou G29 sous l’égide de la directive 95/46 du 24 octobre 1995 sur la protection des données personnelles est le prédécesseur du Comité européen à la protection des données (CEPD) sous l’égide du RGPD.
7. « temporary bulk collection »
8. Draft motion for a resolution to wind up the debate on the statement by the Commission pursuant to Rule 132(2) of the Rules of Procedure on the adequacy of the protection afforded by the EU-US Data Privacy Framework (2023/2501(RSP)), n° 11.
9. European Parliament resolution of 11 May 2023 on the adequacy of the protection afforded by the EU-US Data Privacy Framework.