Adéquation des États-Unis : les premières questions-réponses

Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données personnelles.

Le RGPD (article 45.2) prévoit une liste non exhaustive d’éléments qui, cumulés, permettent à la Commission d’évaluer le caractère adéquat du niveau de protection des données du pays tiers. Ces éléments incluent notamment la législation interne du pays, l’existence d’une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données et les engagements internationaux pris par le pays.

La décision d’adéquation a pour effet de permettre le transfert, sans exigences supplémentaires, de données personnelles depuis les organismes soumis au RGPD vers le pays tiers concerné. La liste des décisions d’adéquation adoptées par la Commission européenne est disponible sur son site web.

En l’absence d’une telle décision, des « garanties appropriées » doivent être mises en place. Le RGPD liste des outils pouvant être utilisés pour apporter ces garanties (article 46 du RGPD). En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques.

Conformément à l’arrêt Schrems I de la Cour de justice de l’Union européenne (CJUE), les décisions d’adéquation s’imposent aux États-membres et à leurs organes, au nombre desquels figurent leurs autorités de protection des données.

Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) dans son arrêt Schrems II a invalidé la précédente décision d’adéquation de la Commission européenne à l’égard des États-Unis (Privacy Shield).

La CJUE a analysé la législation américaine alors en vigueur en matière d’accès aux données des fournisseurs de services Internet et entreprises de télécommunications par les services de renseignement américains (Section 702 FISA et Executive Order 12 333). Elle en a conclu que les atteintes portées à la vie privée des personnes dont les données étaient traitées par les entreprises et opérateurs états-uniens soumis à cette législation étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux européenne. En particulier, la Cour a jugé que la collecte des données par les services de renseignement n’est pas proportionnée et que les voies de recours, y compris juridictionnelles, dont disposent les personnes à l’égard du traitement de leurs données étaient insuffisantes.

La CJUE a dès lors invalidé cette décision d’adéquation de la Commission européenne.

En réaction à cette invalidation, le président des États-Unis, Joe Biden, a adopté le 7 octobre 2022, un décret présidentiel (Executive Order) pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains.

Ce nouveau cadre transatlantique a été soumis à la Commission européenne afin qu’elle évalue s’il permet d’assurer un niveau de protection adéquat des données des Européens. Avant d’adopter définitivement sa décision reconnaissant le caractère adéquat de ce nouveau dispositif, la Commission a soumis le 13 décembre 2022 un projet de décision pour avis au CEPD (organe qui regroupe l’ensemble des autorités de protection des données au niveau européen).

Le 28 février 2023, le CEPD a adopté et publié son avis sur ce projet d’adéquation. Le CEPD y relève les améliorations apportées par le gouvernement des États-Unis, tout en faisant part de ses préoccupations sur un certain nombre de points dont il dresse la liste.

Le cadre de protection des données UE-États-Unis est composé d’un nouvel ensemble de règles et de garanties contraignantes pour limiter l’accès aux données personnelles par les autorités de renseignement étatsuniennes à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.

Le système d’auto-certification des entités important des données

Comme dans le précédant cadre de protection des données UE-États-Unis (Privacy Shield), un système d’auto-certification des entités américaines est mis en place. Une fois inscrites sur la liste des organismes certifiés, ces derniers s’engagent annuellement et publiquement à adhérer à ce cadre légal et à en respecter l’ensemble des principes. Des garanties similaires à celles de l’UE sont prévues telle que la limitation de la finalité, c’est-à-dire l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de collecte. En cas de partage des données européennes à un tiers, la continuité de leur protection devra également être assurée.

Seuls les transferts vers les entités américaines certifiées ne nécessitent pas l’utilisation d’outils d’encadrement des transferts prévus par l’article 46 du RGPD. Pour les transferts de données vers d’autres entités que celles certifiées, des garanties appropriées doivent être fournies et ces transferts ne sont possibles qu’à condition de garantir des droits opposables aux personnes concernées ainsi que des voies de recours effectives.

Le décret présidentiel n°14086

Un des éléments clés de ce cadre est le décret présidentiel étatsunien n° 14086 qui a pour objet de renforcer la protection des données personnelles traitées par les services de renseignement américains en :

• consacrant les principes de nécessité et de proportionalité dans le cadre de l’accès des autorités étatsuniennes aux données, et
• introduisant un nouveau mécanisme de recours indépendant et impartial auprès d’une Cour de contrôle de la protection des données.

La Commission européenne constatant que les États-Unis assurent un niveau de protection substantiellement équivalent à celui de l’UE, les organismes soumis au RGPD (qu’ils soient responsables de traitement ou sous-traitants) peuvent désormais transférer des données personnelles vers les organismes certifiés qui se sont engagés, annuellement et publiquement, à adhérer à ce cadre légal. Ils n’ont pas l’obligation de mettre en place un outil de transfert au titre de l'article 46 du RPGD ou de se prévaloir d'une dérogation au titre de l'article 49 du RGPD.

Avant de procéder au transfert, les organismes doivent s’assurer que l’organisme destinataire figure sur cette liste mise à disposition sur le site du Département du Commerce des États-Unis.

Les responsables du traitement et les sous-traitants doivent néanmoins se conformer à d'autres obligations découlant du RGPD, notamment en ce qui concerne la nécessité de mettre à jour leurs registres de traitement et l’information des personnes concernées de leurs transferts vers les États-Unis.

Les transferts vers des entités étatsuniennes ne figurant pas sur la liste du Département du Commerce ne peuvent pas être fondés sur la décision d'adéquation et nécessitent des garanties appropriées. Il est notamment possible de réaliser le transfert en mettant en place des clauses contractuelles types ou règles d’entreprise contraignantes, ou en utilisant tout autre outil listé à l’Article 46 du RGPD.

Par ailleurs, conformément à la décision de la Cour de justice de l’Union européenne du 16 juillet 2020 dite « Schrems II », en cas d’utilisation d’un des outils de l’Article 46 RGPD, il incombe à l’exportateur des données personnelles d’évaluer au cas par cas si le niveau de protection requis par le droit de l’Union européenne est respecté par le pays tiers afin que les garanties fournies par l’outil de transfert utilisé puissent être respectées. Cette évaluation peut prendre la forme d’une analyse d’impact des transferts de données (AITD ou TIA).

S’agissant des États-Unis, l’exportateur peut s’appuyer sur le fait que la Commission européenne a considéré que la législation des États-Unis était conforme aux exigences européennes dans sa nouvelle décision d’adéquation. Il doit en revanche vérifier si l’importateur est soumis à des lois propres aux secteurs non couverts par la décision d’adéquation qui seraient susceptibles de l’empêcher de respecter les garanties fournies par l’outil de transfert utilisé. Si c’est le cas, il doit tenir compte de ces législations dans son analyse. Dans le cas contraire, un renvoi à la décision d’adéquation est suffisant. Il devra également tenir compte de toute évolution de la législation étasunienne à venir.

Les garanties mises en place par le gouvernement étatsunien dans le domaine de la sécurité nationale (y compris le mécanisme de recours) s'appliquent à tous les transferts de données effectués par des entités publiques ou privées soumises au RGPD vers des entreprises situées aux États-Unis.

Elles sont donc applicables quel que soit l’outil de transfert utilisé (clauses contractuelles types ou règles d’entreprise contraignantes par exemple).

Une administration ou une collectivité locale qui souhaiterait recourir aux services d’un prestataire étatsunien inscrit sur la liste des entités auto-certifiées du Département du Commerce peut se baser sur cette décision d’adéquation pour ses transferts vers son prestataire.

Néanmoins, seuls les transferts vers les entités américaines certifiées ne nécessitent pas l’utilisation d’outils d’encadrement des transferts prévus par l’article 46 du RGPD. Pour les transferts de données vers d’autres entités que celles certifiées, des garanties appropriées  doivent être fournies à travers un des instruments listés à l’article 46 du RGPD et ces transferts ne sont possibles qu’à condition de garantir des droits opposables aux personnes concernées ainsi que des voies de recours effectives.

La décision d’adéquation est entrée en application le 10 juillet, après avoir été notifiée par la Commission européenne aux États-membres.

Cela concerne tous les organismes nouvellement certifiés, mais également ceux qui faisaient l’objet d’une certification Privacy Shield et qui l’avaient maintenue après l’invalidation de la décision d’adéquation.

En effet, ces organismes ont été automatiquement inscrits sur la nouvelle liste du Département étatsunien du commerce.

Ils disposaient de trois mois pour mettre à jour leur politique de confidentialité (jusqu’au 10 octobre 2023).

À noter que la mise à jour des politiques de confidentialité n’est pas forcément visible sur la fiche de l’organisme sur le site du Département du commerce américain.

Il est ainsi nécessaire que l’exportateur vérifie le contenu de la fiche de l’entité importatrice, pour s'assurer entre autres que les entités concernées (filiales y compris) et les catégories de données traitées en l'espèce (données commerciales ou ressources humaines) sont couvertes par la certification.

Conformément à l’article 45, paragraphe 9 du RGPD, une telle décision reste en vigueur jusqu’à sa modification, son remplacement ou son abrogation par une décision de la Commission européenne, si ce niveau de protection des données n’est plus adéquat.

Une première revue aura lieu dans un an à compter de l’entrée en application de la décision. Durant ce réexamen, la Commission prendra en compte l’ensemble des évolutions pertinentes observables aux États-Unis (article 45.3 du RGPD).

Selon le résultat de ce premier examen, la Commission décidera, en consultation avec les États membres et les CNIL européennes, de la périodicité des revues suivantes. Celle-ci ne pourra pas excéder quatre ans.

La CNIL continue d’instruire les plaintes relatives à des transferts vers les États-Unis ayant eu lieu avant l’entrée en application de cette décision d’adéquation.

Les manquements en lien avec l’arrêt Schrems II antérieurs à la décision d’adéquation peuvent juridiquement donner lieu à des mesures correctrices. Compte tenu de cette décision d’adéquation, de tels manquements ne pourront néanmoins pas faire l’objet de mise en demeures ou d’injonctions pour l’avenir. La CNIL tiendra compte de tous les éléments de contexte pertinents pour apprécier la suite à donner aux plaintes.

Recours à l’encontre des entreprises certifiées – Data Privacy Framework

Le cadre de protection des données UE-Etats-Unis (Data Privacy Framework – DPF) prévoit plusieurs mécanismes de résolution des litiges en cas de manquement présumé au DPF et chaque organisme certifié peut choisir d’en privilégier un en particulier. Les informations relatives aux mécanismes de résolution des litiges privilégiés par chaque organisme certifié, ainsi que les coordonnées permettant de le contacter pour poser une question ou faire une réclamation sont disponibles dans la section « résolution des conflits » (« dispute resolution ») de la fiche dédiée à cet organisme accessible depuis la liste du DPF.

Les différents mécanismes de résolution des litiges sont les suivants :

• dans la majorité des cas, l’organisme s’est désigné lui-même comme interlocuteur. Il doit alors répondre dans un délai de 45 jours. Il est donc recommandé de contacter d’abord directement l’organisme concerné ;
   
• dans certains cas, l’organisme a désigné un organe indépendant de résolution des litiges qu’il convient alors de contacter ;
   
• il est également possible de saisir toute autorité européenne de protection des données personnelles, dont la CNIL. Les actions alors engagées par l’autorité varient :
  • en matière de ressources humaines ou lorsque les autorités de protection des données personnelles de l’UE ont été désignées en tant qu’organe indépendant de résolution des conflits par l’organisme certifié (« EU Data Protection Authorities (DPAs) » dans la fiche dédiée accessible sur la liste du DPF), la réclamation sera traitée par le panel informel d’autorités de l’UE.
    
    Pour plus de détails sur le panel informel d’autorités de l’UE, nous vous invitons à consulter la FAQ du CEPD.
     
  • dans les autres cas, l’autorité saisie transmettra la réclamation à l’autorité américaine compétente pour la traiter, c’est-à-dire à la Direction du Commerce International du Ministère du Commerce étasunien (Department of Commerce’s International Trade Administration – DoC’ ITA) ou à l’autorité de contrôle étasunienne compétente (cf. ci-dessous).
• il est enfin possible de saisir l’autorité de contrôle étasunienne compétente - il s’agit le plus souvent de la Commission Fédérale du Commerce (Federal Trade Commission - FTC), mais cela peut aussi être le Ministère du Transport (U.S. Department of Transportation – DoT).

Recours en cas de présomption d’accès illégal à des données personnelles par les agences de renseignement américaines - Executive Order

Parallèlement, le décret présidentiel (Executive Order – EO) crée un autre mécanisme de recours, qui ne porte que sur la collecte et le traitement par les agences de renseignement étatsuniennes, de données personnelles transférées vers les Etats-Unis. 

Si vous estimez que les services de renseignement étatsuniens ont pu accéder illégalement à vos données personnelles ou qu’ils ont pu les utiliser de manière illégale, au titre du décret présidentiel 14086 ou de la loi étasunienne applicable à l’agence de renseignement concernée, vous pouvez faire une réclamation auprès de la CNIL (ou de toute autre autorité de protection des données personnelles européenne compétente).

Après vérification par la CNIL de la complétude et de la recevabilité de votre dossier, celui-ci sera transmis au CEPD, qui le transmettra ensuite à l’Officier de Protection des Libertés Civiles de la Direction National du Renseignement étasunienne (Office of the Director of National Intelligence’s Civil Liberties Protection Officer – CLPO), compétente pour traiter la réclamation.

Le CLPO déterminera s’il y a eu violation ou non des dispositions de l’Executive Order ou de la loi étatsunienne applicable et prendra, si nécessaire, une mesure contraignante. La CNIL restera le point de contact privilégié du requérant et l’informera des suites données à sa demande par le CLPO et des voies de recours dont il dispose.

Pour plus de détails, nous vous invitons à prendre connaissance de la note d’information du CEPD.