Rappelez-vous, le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) rendait sa décision d’invalidation du Privacy Shield, accord bilatéral entre les États-Unis et l’Union Européenne autorisant le transfert de données personnelles.
En conséquence, les transferts de données personnelles vers des entreprises situées aux États-Unis devenaient illicites en l’absence de garanties appropriées, telles que les clauses contractuelles types, des règles internes d’entreprises, un code de conduite approuvé, etc.
En effet, il n’existe aucune décision de la Commission Européenne ayant évalué le caractère « adéquat » du niveau de protection des États-Unis.
De ce fait, pour transférer des données vers les États-Unis, il est nécessaire d’instaurer des clauses contractuelles types (les fameuses « CCT ») : il s’agit de clauses standards adoptées par la Commission afin d’encadrer ces transferts. Pour les utiliser, il faut évaluer si :
– le pays vers lequel les données sont envoyées assure une protection suffisante (ce qui est difficilement envisageable pour les Etats-Unis) ; et
– les garanties fournies par les CCT peuvent être respectées en pratique. Dans le cas contraire, il convient de mettre en place des mesures complémentaires de protection. Il s’agit de mesures techniques, contractuelles et/ou organisationnelles, telles que le chiffrement, l’obligation d’information du prestataire situé aux États-Unis en cas de demandes d’accès aux données des autorités ou la mise en place de procédures.
Il est possible alternativement de mettre en place :
- des règles internes d’entreprise, constituant un code de conduite, définissant la politique d’une entreprise en matière de transferts de données personnelles ;
- un code de conduite approuvé et assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
Si ces règles ne sont pas respectées, vous êtes en violation du RGPD et vous risquez une amende administrative pouvant s’élever jusqu’à 20M€ ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Un pas vers un nouvel accord pour les transferts de données vers les États-Unis ?
A l’automne 2022, les États-Unis ont adopté un nouveau cadre juridique visant à améliorer les garanties dans le cadre des activités de renseignement, lesquelles étaient incompatibles avec les règles européennes.
Ainsi, le 7 octobre 2022, le Président américain Joe Biden signait un décret (executive order) pour déployer le « European Union – US Data Privacy Framework » (DPF).
Nouvelle étape : projet de décision d’adéquation par la Commission Européenne
Le DPF était soumis à l’appréciation de la Commission Européenne dans l’objectif qu’elle prononce une décision reconnaissant un niveau de protection adéquat des données.
La Commission a publié le 13 décembre 2022 son projet de décision d’adéquation visant à remplacer le Privacy Shield et concluant que les États-Unis assurent un niveau de protection adéquat des données personnelles transférées de l’Union Européenne vers les États-Unis.
Réticence du Comité Européen de la Protection des Données sur le projet de décision d’adéquation
Sur demande de la CE, le Comité Européen de la Protection des Données (CEPD), regroupant toutes les CNIL européennes, a publié le 28 février 2023 son avis sur ce projet de décision.
Tout en saluant les améliorations substantielles au cadre juridique américain, le CEDP exprime ses préoccupations et sollicite des éclaircissements sur les droits des personnes concernées, les transferts ultérieurs, etc. L’avis en anglais est consultable ici.
Compte tenu de l’avis du CEPD, la CE ne pourra pas adopter en l’état le projet de décision d’adéquation.
Vous l’aurez compris, la saga sur les transferts de données EU-US continue dans l’objectif non négligeable de garantir la protection des données personnelles des européens…