Adoption par la Commission européenne d’une nouvelle décision d’adéquation en faveur des États-Unis

Alors que l’on pouvait imaginer que les critiques formulées à l’encontre du projet de décision d’adéquation de la Commission européenne en faveur des États-Unis conduiraient la Commission à en renégocier certains aspects avec le gouvernement américain (voir La rem n°65-66, p.22), il n’en a rien été puisque la Commission a adopté ce projet par une décision en date du 10 juillet 2023¹.

On rappellera que, depuis l’époque de la directive européenne du 24 octobre 1995, le transfert de données à caractère personnel en dehors du territoire de l’Union est encadré. Sous le régime de la directive, l’exception essentielle à cette interdiction résidait dans l’adoption par la Commission européenne d’une décision d’adéquation constatant qu’« un pays tiers assure un niveau de protection adéquat » pour les données transférées². Le RGPD (règlement général sur la protection des données) a repris cet instrument, tout en diversifiant les entités censées en bénéficier (pays tiers, mais aussi un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou encore une organisation internationale) ainsi que les outils susceptibles d’être employés pour transférer des données vers une entité ne bénéficiant pas d’une décision d’adéquation³.

Le grand intérêt d’une décision d’adéquation est que des données à caractère personnel peuvent être transférées vers l’entité externe qui en bénéficie librement, c’est-à-dire sans recourir aux autres mécanismes de protection prévus par le chapitre V du RGPD.

Le 26 juillet 2000, la Commission européenne adopta en faveur des États-Unis une première décision d’adéquation⁴, dont les principes sont connus sous le nom de « Safe Harbor » et qui fut annulée par la CJUE (Cour de justice de l’Union européenne) dans un arrêt du 6 octobre 2015, dit « Schrems I »⁵.

La Commission européenne remit alors l’ouvrage sur le métier et adopta une deuxième décision d’adéquation en faveur des États-Unis – le système dit « Privacy Shield » – qui fut à nouveau annulé par la CJUE dans un arrêt du 16 juillet 2020⁶, connu sous le nom de « Schrems II ». C’est dans ce contexte que la Commission européenne avait annoncé, en mars 2022, avoir conclu avec les États-Unis un accord de principe sur un projet de « cadre transatlantique de protection des données personnelles » ayant vocation à constituer l’armature d’un nouveau cadre juridique pour les transferts de données depuis l’Europe vers les États-Unis. Cette annonce se concrétisa par la publication, le 13 décembre 2022, d’un projet de décision d’adéquation⁷ dont les principes essentiels sont contenus en son annexe I, le Data Privacy Framework (DPF).

Conformément au RGPD, ce projet fut soumis à l’avis du Comité européen de la protection des données (CEPD) qui, dans une opinion adoptée le 28 février 2023, releva des améliorations certaines par rapport au système antérieur mais formula également plusieurs sujets de préoccupation (voir La rem n°65-66, p. 22). Dans la foulée, le Parlement européen émit ses propres réserves sur le projet dans une résolution du 11 mai 2023⁸.

D’aucuns ont pu donc être surpris que la Commission européenne adopte, le 10 juillet 2023, une décision d’adéquation à l’égard de laquelle au moins deux institutions majeures avaient formulé des réserves dans les mois précédents.

L’intérêt essentiel de cette décision d’adéquation est évidemment de restaurer un libre transfert des données depuis le territoire de l’Union européenne⁹ vers les États-Unis, plus précisément vers les organisations qui auront adhéré aux principes du DPF, selon une procédure d’autocertification constituant l’un des points d’inquiétude soulevés contre cet accord.

Parmi les nouveautés prévues par le DPF, il faut citer également l’instauration au bénéfice des Européens d’un mécanisme de recours s’articulant en deux phases : d’abord, le dépôt d’une plainte devant le Civil Liberties Protection Officier of the Office of the Director of National Intelligence (CLPO), puis une possibilité de faire appel devant une nouvelle instance américaine, la Data Protection Review Court (DPRC). La nouveauté a été saluée ; toutefois, l’indépendance réelle de ces deux organismes constitue un autre point d’inquiétude formulé contre cet accord.

Alors que la Commission européenne s’est évidemment félicitée de cette avancée dans les rapports transatlantiques, les détracteurs de cette décision ont commencé à affûter leurs armes. Pendant que certains ironisent sur le mémo¹⁰ de la NSA/CSS (National Security Agency / Central Security Service) enjoignant leurs services de réaliser leurs activités d’espionnage en prenant en compte que « toute personne devrait être traitée avec dignité et respect peu importe leur nationalité et leur lieu de résidence, et que toute personne a des intérêts de vie privée légitimes dans la gestion de leurs données personnelles », conformément à l’Executive Order 14086 signé par le président Biden dans la perspective de la mise en œuvre du DPF, Maximilian Schrems a fait savoir par l’intermédiaire de son association NOYB (None Of Your Business) qu’ils ont « déjà plusieurs options de contestation dans le tiroir, bien que nous en ayons assez de ce ping-pong juridique »¹¹.

Et, alors qu’on pouvait être relativement certain qu’il donnerait son nom à un nouvel arrêt de la CJUE, un député français, Philippe Latombe (MoDem), membre de la Cnil (Commission nationale de l’informatique et des libertés) mais déclarant avoir agi « à titre personnel, en tant que simple citoyen de l’Union », a annoncé avoir déposé le 7 septembre une requête auprès du Tribunal aux fins d’obtenir l’annulation de la décision d’adéquation de la Commission¹² : on pourrait donc obtenir un arrêt « Latombe » !

En l’état, on ne saurait trop conseiller aux Européens engagés dans des transferts de données transatlantiques de continuer à fonder leurs transferts de données sur les autres mécanismes prévus par le chapitre V du RGPD, le plus évident pour les entreprises ne pouvant se prévaloir de règles d’entreprises contraignantes étant le mécanisme des clauses contractuelles types. Il n’est en effet pas du tout certain que cette troisième décision d’adéquation passe le test de la CJUE, et il serait ainsi plus raisonnable, dans l’attente de sa future décision, de continuer d’organiser les transferts de données à caractère personnel vers les États-Unis comme si cette décision d’adéquation n’existait pas.

Sources :

1. Décision d’exécution (UE) 2023/1795 de la commission du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE–États-Unis.
2. 25.6 de la directive.
3. Voir le chapitre V du RGPD.
4. Décision 2000/520/CE de la Commission, du 26 juillet 2000.
5. CJUE, 6 octobre 2015, C-392/14, Maximilian Schrems vs Data Protection Commissioner.
6. CJUE, 16 juillet 2020, C-311/18, Data Protection Commissionner c. Facebook Ireland Ltd, Maximillian Schrems.
7. Voir le site de la Commission européenne :
   https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en.
8. European Parliament resolution of 11 May 2023 on the adequacy of the protection afforded by the EU-US Data Privacy Framework.
9. Plus précisément, celui de l’Espace économique européen (EEE).
10. « NSA/CSS Policy Annex C supplemental procedures for the collection processing, querying, retention, and dissemination of Signals intelligence information and data containing personal information of non-United States Persons », point 5 ; Klippenstein Ken, « NSA orders employees to spy on the world “with dignity and respect” », https://theintercept.com, August 25, 2023.
11. NYOB, « European Commission gives EU-US data transfers third round at CJEU », noyb.eu, July 10, 2023.
12. Morgan Schmiedt, « Data Privacy Framework – Le député et membre de la Cnil Philippe Latombe dépose un recours à la CJUE pour obtenir l’annulation de la décision d’adéquation avec les États-Unis », ewatchers.org, 8 septembre 2023.