Le 7 octobre dernier, le président américain a signé un décret apportant de nouvelles garanties liées aux activités de surveillance des autorités américaines.
Source
Dans un arrêt du 6 octobre 2015 (affaire C362/14 – arrêt « SCHREMS I »), la CJUE avait annulé le « Safe Harbor », organisant les conditions de transfert des données personnelles vers les Etats-Unis, la Cour formulant des réserves rédhibitoires quant à l’étendue des pouvoirs des services de renseignement américains, lesquels pouvaient avoir accès aux données stockées dès lors qu’ils estimaient qu’un intérêt de sécurité publique le justifiait, constituant ainsi une violation de la Charte des droits fondamentaux de l’UE, le RGPD n’étant pas encore adopté au moment de cette procédure.
Suite à cette décision, un nouvel accord entre l’UE et les Etats-Unis avait été « négocié » au pas de charge, censé améliorer la protection des données personnelles, le « Privacy Shield » entrait donc en vigueur le 1er août 2016, soit quelques mois seulement après l’invalidation de son prédécesseur, un si court délai au regard des enjeux était déjà suspect.
Préalablement à cette entrée en vigueur et cette fois dans le cadre du RGPD, la Commission avait reconnu l’adéquation du niveau de protection assurée par ce bouclier des données personnelles transférées par une entité européenne vers des entreprises établies aux États-Unis (décision UE 2016/1250 du 12 juillet 2016).
Cette décision avait fait l’objet d’une question préjudicielle dans le cadre de la plainte initiée par Monsieur SCHREMS, celui-ci estimant que le « Privacy Shield » n’assurait toujours pas une protection suffisante des données des citoyens européens et s’est une nouvelle fois tourné vers l’autorité de contrôle irlandaise pour requérir la suspension ou l’interdiction du transfert de ses données personnelles de l’Union européenne vers les Etats-Unis.
Dans son arrêt du 16 juillet 2020 (affaire C-311/18), la CJUE avait, une nouvelle fois, invalidé cet accord.
En effet, elle estimait que les critiques qu’elle avait exprimées dans l’arrêt SCHEMS I du 6 octobre 2015 restaient entièrement d’actualité puisqu’aucune garantie supplémentaire n’était donnée par le « Privacy shield », notamment sur l’impossibilité pour les services secrets américains de collecter, sans mandat, des données relatives à des citoyens non américains situés en dehors des Etats-Unis, étant par ailleurs observé que les entreprises américaines s’appuyaient sur un mécanisme d’auto-certification de conformité au « Privacy Shield » en dehors donc d’un réel contrôle des autorités américaines.
Ainsi, les critiques à l’origine de l’invalidation de l’accord dit du « Safe Harbor » n’avaient tout simplement pas disparu, ce qu’avait constaté la Cour.
En effet, celles-ci soulignaient que le transfert de données à caractère personnel effectué par un opérateur économique établi dans un Etat membre vers un autre opérateur établi dans un pays tiers, susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’Etat par les autorités du pays tiers concerné, ici les Etats-Unis, était soumis aux dispositions du RGPD.
Celui-ci précise que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données.
Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat, contrôle effectué ici et consigné dans sa décision contesté du 12 juillet 2016.
La Cour rappelait que les dispositions du RGPD imposent que les personnes dont les données à caractère personnel sont transférées vers un pays tiers doivent bénéficier d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement.
Selon l’arrêt, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit européen, la Cour émettant l’hypothèse d’ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.
La Cour relevait ainsi que les programmes de surveillance américains ne présentent pas de réelles garanties pour des personnes non américaines potentiellement visées.
Fort de ces constats, LA CJUE invalidait la décision de la Commission du 12 juillet 2016 reconnaissant l’adéquation du niveau de protection assurée par le « Privacy Shield », retenant que les exigences relatives à la sécurité nationale et à l’intérêt public ne sont pas susceptibles de primer sur la protections des données personnelles des citoyens européens.
C’est dans ce contexte que la Commission européenne et les autorités américaines sont une nouvelle fois entrées en négociation, celles-ci aboutissant, suivant un communiqué de l’instance européenne du 25 mars dernier, à un accord de principe.
Dans le prolongement de cet accord, le président américain a signé le 7 octobre dernier un décret, « Executive Order », visant à introduire de nouvelles garanties pour encadrer, en matière de données, les activités de surveillance des autorités américaines et créer des voies de recours pour les personnes concernées.
Si cet acte constitue une nouvelle avancée, il n’est toujours pas acquis qu’il effectue un réel rapprochement par rapport au niveau de protection établi au sein de l’Union européenne, formalisant des intentions plutôt que d’apporter de réelles obligations.
Toutefois, il convient au moins de relever la création d’une cour en charge des litiges liés aux données collectées dans le cadre des activités de renseignement des autorités américaines.
La voie de recours ainsi créée par l’exécutif américain permettra à tout citoyen ayant un intérêt à agir de saisir un délégué à la protection des libertés civiles, lequel effectuera un examen visant à déterminer le respect ou non des garanties accordées par la loi américaine et fixer le cas échéant les mesures destinées à y remédier.
Cet examen sera suivi par un avis de la nouvelle cour de contrôle de la protection des données, avis ayant une valeur contraignante auprès des autorités américaines.
