DONNEES PERSONNELLES – Transfert de données à caractère personnel UE/US : La Commission européenne adopte une nouvelle décision d’adéquation

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant le transfert de données personnelles entre l’Union européenne et les Etats-Unis[1].

Pour rappel, cette nouvelle décision d’adéquation fait suite à l’invalidation en 2020[2] par la Cour de justice de l’Union européenne (« CJUE ») de la précédente décision d’adéquation 2016/1250 (« Privacy Shield ») en raison de craintes d’une surveillance par les services de renseignement américains. La CJUE avait, après avoir analysé la législation américaine en matière d’accès aux données des fournisseurs de services Internet et entreprises de télécommunications par les services de renseignement américains (Section 702 FISA et Executive Order 12 333), conclu que les atteintes portées à la vie privée des personnes dont les données sont traitées par les entreprises et opérateurs américains soumis à cette législation étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux. En particulier, la Cour avait jugé que la collecte des données par les services de renseignement n’était pas proportionnée et que les voies de recours, y compris juridictionnelles, dont disposaient les personnes à l’égard du traitement de leurs données étaient insuffisantes.

La Commission européenne a depuis considéré que les modifications apportées par les Etats-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l’Union européenne vers les organismes étasuniens respectant le cadre de protection des données UE – Etats-Unis (« EU – US Data Protection Framework » ou « DPF »).

La Commission européenne indique notamment que le gouvernement américain a mis en place un nouveau mécanisme de recours à deux niveaux, doté d’autorités indépendantes, pour traiter et résoudre les plaintes déposées par toute personne dont les données ont été transférées de l’Union européenne vers des entreprises aux États-Unis concernant la collecte et l’utilisation de ses données par les agences de renseignement américaines.

Ce mécanisme de recours à deux niveaux s’articule comme suit :

i. Les plaintes des personnes concernées sont dans un premier temps examinées par le « Civil Liberties Protection Officer » qui a pour rôle de veiller à ce que les agences de renseignement américaines respectent la vie privée et les droits fondamentaux.

ii. Les personnes concernées ont ensuite la possibilité d’interjeter appel de la décision du « Civil Liberties Protection Officer » devant une nouvelle autorité appelée « Data protection Review Court ». Cette autorité impartiale et indépendante est composée de membres extérieurs au gouvernement américain.

Les personnes concernées bénéficieront en outre de plusieurs voies de recours en cas de traitement incorrect de leurs données par des entreprises américaines. Il s’agit notamment de mécanismes indépendants de règlement des litiges et d’un panel spécial d’arbitrage.

À la suite de l’adoption de cette nouvelle décision d’adéquation, les transferts de données à caractère personnel de l’Union européenne vers les organismes américains respectant le DPF, lesquels figurent dans une liste accessible publiquement depuis le site internet DPF[3], peuvent de nouveau s’effectuer librement sans recours aux garanties appropriées telles que les clauses contractuelles types (« CCT ») complétées par les mesures recommandées par le Comité européen de la protection des données (« CEPD»).[4]

La Commission européenne procédera à des examens périodiques en collaboration avec des autorités européennes chargées de la protection des données et des autorités américaines afin de s’assurer du bon fonctionnement du DPF. Le premier examen aura lieu un an après l’entrée en vigueur de la décision d’adéquation.

On soulignera un premier mouvement de contestation de la part du député français Philippe Latombe qui, en sa qualité de citoyen, a déposé le 7 septembre 2023 un recours auprès de la CJUE contre le DPF. Pour le député, le DPF n’est pas conforme au Règlement général sur la protection des données (« RGPD ») et à la Charte des droits fondamentaux de l’Union européenne. Celui-ci relève également qu’il n’a été publié qu’en langue anglaise, ce qui contreviendrait aux règles de l’UE qui prévoient que les règlements et autres textes de portée générale sont rédigés dans les langues officielles[5].

---

[1]https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_3721

[2] CJUE, 16 juillet 2020, C-311/18, Schrems II : https://curia.europa.eu/juris/document/document.jsf;jsessionid=99B212F04D03066ED3C98B5A71ECF050?text=&docid=228677&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=589712

[3] Site internet DPF: https://www.dataprivacyframework.gov/s/participant-search

[4] Recommandations n°01/2020 : https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_fr.pdf

[5] https://www.usine-digitale.fr/article/le-depute-philippe-latombe-depose-un-recours-contre-le-data-privacy-framework-qui-lie-l-ue-et-les-etats-unis.N2168837