Accueil
Le quotidien du droit en ligne
-A+A
Article

Nouvel épisode pour les transferts de données vers les États-Unis

Les transferts de données personnelles vers les États-Unis sont l’objet de nombreuses discussions et casse-têtes autant dans les institutions européennes que dans les entreprises. Les États-Unis ne disposant pas de décision d’adéquation par la Commission européenne, et afin d’éviter la mise en place d’encadrement juridique de ces transferts tels qu’énumérés au chapitre V du RGPD, un entre-deux avait été trouvé : un accord bilatéral, le premier nommé Safe Harbor puis le second, Privacy Shield. Tous deux ont été invalidés par la CJUE et, le 25 mars dernier, Joe Biden et Ursula Van der Leyen annonçaient la reprise des négociations afin de trouver un nouvel accord pour les transferts transatlantiques. Néanmoins, la législation américaine n’ayant pas changé, le scepticisme reste de mise malgré la promulgation d’un nouvel Executive Order par Joe Biden, auquel l’avocat Maximilian Schrems n’a pas manqué de répondre dans un communiqué sur le site de son ONG My Privacy Is None of Your Business (NOYB).

Précédemment dans la saga des transferts transatlantiques

Les transferts de données vers les États-Unis sont un sujet plein de rebondissements depuis l’invalidation du Safe Harbor suivi de celle du Privacy Shield. Les transferts de données personnelles consistent en un traitement de données depuis l’Union européenne vers un État tiers à l’Union européenne qui ne dispose pas de décision d’adéquation (à ce jour quatorze pays disposent d’une telle décision). Pour se prévaloir d’une décision d’adéquation, ledit pays tiers doit prouver d’une protection des données personnelles qui soit équivalente – et non identique – à celle offerte au sein de l’Union européenne, à ceci près que si l’Union européenne n’a pas de compétence en matière de sécurité nationale, les lois de surveillance étrangère des États tiers sont passées au peigne fin et doivent comporter les mêmes garanties que celles prévues par le RGPD (notamment les droits des personnes concernées). Les États-Unis, en raison de leur législation de surveillance étrangère, ne sont pas éligibles à une telle décision. La Commission européenne a alors tenté de contourner ce problème par un accord bilatéral qui ferait office d’autorisation des transferts sans avoir à recourir aux mécanismes juridiques prévus par le RGPD, à savoir les clauses contractuelles types (CCT) et/ou les binding corporate rules (BCR) : ainsi était né le Safe Harbor, finalement invalidé par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015, dans l’arrêt Schrems I (aff. C-362/14, Schrems c/ Data Protection Commissioner, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2015. 786, obs. M. Benlolo-Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ) après les révélations d’Edward Snowden sur les pratiques de surveillances des autorités américaines.

Pour pallier cette remise à l’ordre par la CJUE, un nouvel accord est conclu entre l’Union européenne et les États-Unis : le Privacy Shield. Le principe est le même que celui du Safe Harbor, c’est-à-dire que les entreprises américaines pouvaient s’autocertifier en conformité avec le RGPD auprès de la chambre de commerce américaine. Le Privacy Shield ajoute deux composantes : la première est un encadrement de la surveillance américaine à travers la directive de politique présidentielle (PPD-28) promulguée sous Barack Obama et la création d’une Ombudsperson qui gérerait le contentieux lié aux traitements de données par les autorités. Ce nouvel accord ne fait pas long feu puisque l’avocat autrichien Maximilian Schrems redépose une plainte auprès de l’autorité irlandaise contre Facebook au sujet des transferts de données, argumentant que les données personnelles des usagers du réseau social ne sont pas protégées au regard des lois de surveillance – lesquelles permettent aux autorités de demander l’accès aux données détenues par les fournisseurs de communication américains. Dans son arrêt du 16 juillet 2020, Schrems II (aff. C-362-14), la Cour de justice invalide le Privacy Shield pour deux motifs. D’une part, parce que les lois de surveillance américaine permettent la surveillance de masse sans garanties suffisantes pour assurer le respect de la vie privée. Se trouvent notamment en jeu les programmes PRISM et...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :