Dans un arrêt du 6 octobre 2015 (affaire C362/14 – arrêt « SCHREMS I »), la CJUE avait annulé le « Safe Harbor », organisant les conditions de transfert des données personnelles vers les Etats-Unis, la Cour formulant des réserves rédhibitoires quant à l’étendue des pouvoirs des services de renseignement américains, lesquels pouvaient avoir accès aux données stockées dès lors qu’ils estimaient qu’un intérêt de sécurité publique le justifiait, constituant ainsi une violation de la Charte des droits fondamentaux de l’UE, le RGPD n’étant pas encore adopté au moment de cette procédure.
Suite à cette décision, un nouvel accord entre l’UE et les Etats-Unis avait été « négocié » au pas de charge, censé améliorer la protection des données personnelles, le « Privacy Shield » entrait donc en vigueur le 1er août 2016, soit quelques mois seulement après l’invalidation de son prédécesseur, un si court délai au regard des enjeux était déjà suspect.
Préalablement à cette entrée en vigueur et cette fois dans le cadre du RGPD, la Commission avait reconnu l’adéquation du niveau de protection assurée par ce bouclier des données personnelles transférées par une entité européenne vers des entreprises établies aux États-Unis (décision UE 2016/1250 du 12 juillet 2016).
Cette décision avait fait l’objet d’une question préjudicielle dans le cadre de la plainte initiée par Monsieur SCHREMS, celui-ci estimant que le « Privacy Shield » n’assurait toujours pas une protection suffisante des données des citoyens européens et s’est une nouvelle fois tourné vers l’autorité de contrôle irlandaise pour requérir la suspension ou l’interdiction du transfert de ses données personnelles de l’Union européenne vers les Etats-Unis.
Dans son arrêt du 16 juillet 2020 (affaire C-311/18), la CJUE avait, une nouvelle fois, invalidé cet accord.
En effet, elle estimait que les critiques qu’elle avait exprimées dans l’arrêt SCHEMS I du 6 octobre 2015 restaient entièrement d’actualité puisqu’aucune garantie supplémentaire n’était donnée par le « Privacy shield », notamment sur l’impossibilité pour les services secrets américains de collecter, sans mandat, des données relatives à des citoyens non américains situés en dehors des Etats-Unis, étant par ailleurs observé que les entreprises américaines s’appuyaient sur un mécanisme d’auto-certification de conformité au « Privacy Shield » en dehors donc d’un réel contrôle des autorités américaines.
Ainsi, les critiques à l’origine de l’invalidation de l’accord dit du « Safe Harbor » n’avaient tout simplement pas disparu, ce qu’avait constaté la Cour.
En effet, celle-ci relevait que le transfert de données à caractère personnel effectué par un opérateur économique établi dans un Etat membre vers un autre opérateur établi dans un pays tiers, susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’Etat par les autorités du pays tiers concerné, ici les Etats-Unis, était soumis aux dispositions du RGPD (Règlement Général sur la Protection des Données applicable à partir du 25 mai 2018).
Celui-ci précise que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat, contrôle effectué ici et consigné dans sa décision contesté du 12 juillet 2016.
La Cour rappelait que les dispositions du RGPD imposent que les personnes dont les données à caractère personnel sont transférées vers un pays tiers doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement.
Selon l’arrêt, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit européen, la Cour émettant l’hypothèse d’ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.
La Cour relevait ainsi que les programmes de surveillance américains ne présentent pas de réelles garanties pour des personnes non américaines potentiellement visées.
Fort de ces constats, LA CJUE invalidait la décision de la Commission du 12 juillet 2016 reconnaissant l’adéquation du niveau de protection assurée par le « Privacy Shield », retenant que les exigences relatives à la sécurité nationale et à l’intérêt public ne sont pas susceptibles de primer sur la protections des données personnelles des citoyens européens.
C’est dans ce contexte que la Commission européenne et les autorités américaines sont une nouvelle fois entrées en négociations, celles-ci aboutissant, suivant un communiqué de l’instance européenne du 25 mars dernier à un accord de principe construit autour de protections juridiques renforcées suivant les lignes directrices suivantes :
Des nouvelles règles et garanties contraignantes limitant l’accès aux données des citoyens européens aux services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
Un recours établi sur deux niveaux pour recevoir les plaintes des citoyens européens concernant l’accès à leurs données par les services de renseignements américains, accompagné de la création d’une juridiction spécialisée ;
Des obligations renforcées pour les entreprises américaines traitant des données personnelles transférées depuis l’Union européenne ;
De nouveaux mécanismes de révision seront mis en place.
Dans le détail, le contenu de cet accord n’a pas été révélé, ni aucun calendrier quant à sa mise en œuvre.
L’annonce de la Commission méritera une analyse plus approfondie dès que cet accord sera dévoilé.