Résolution du Parlement euro­péen du 11 mai 2023 sur l’adéquation de la protec­tion assu­rée par le cadre de protec­tion des données UE–États-Unis (2023/2501(RSP))

Le 11 mai 2023, le Parlement euro­péen a rendu une réso­lu­tion sur l’adéquation du cadre de protec­tion des données des États-Unis. Celle-ci s’inscrit dans le cadre d’une nouvelle procé­dure d’adéquation lancée par la Commission euro­péenne et de la publi­ca­tion du projet de déci­sion d’adéquation le 13 décembre 2022 (sur ce sujet : www​.swiss​pri​vacy​.law/​1​92/).

Bien que l’avis du Parlement ne soit pas contrai­gnant, au même titre que l’opinion du Comité euro­péen de la protec­tion des données ayant rendu son avis le 28 février 2023, les argu­ments et points soule­vés présentent un avis tran­ché sur la ques­tion de l’adéquation des États-Unis et méritent une analyse.

Pour rappel, les déci­sions d’adéquation, instau­rées par l’art. 45 RGPD, consti­tuent l’un des méca­nismes prévus par le RGPD permet­tant le trans­fert de données à carac­tère person­nel vers des pays tiers. La Commission est compé­tente pour consta­ter par voie de déci­sion le carac­tère adéquat du cadre de protec­tion des données d’un pays, permet­tant ainsi une libre circu­la­tion des données person­nelles entre l’Union euro­péenne et le pays concerné. Un examen appro­fondi de la légis­la­tion interne est fait, ainsi que de son appli­ca­tion effec­tive dans l’ordre juri­dique concerné.

La ques­tion de l’adéquation des États-Unis fait l’objet de grandes discus­sions depuis plusieurs années, tant dans l’UE qu’en Suisse. Deux accords de trans­ferts, le Safe Harbour et le Privacy Shield, ont été respec­ti­ve­ment annu­lés par la CJUE en 2015 (C‑362/​14) et 2020 (C‑311/​18). La Cour esti­mait que les accords ne garan­tis­saient pas un niveau de protec­tion adéquat. La Suisse a suivi l’opinion euro­péenne, le PFPDT annon­çant dans un commu­ni­qué du 8 septembre 2020 reti­rer les États-Unis de sa liste de pays consi­dé­rés comme adéquats.

Dans sa réso­lu­tion, le Parlement présente un certain nombre d’arguments. Ceux-ci portent sur le manque d’encadrement suffi­sant de la surveillance de masse permise par la légis­la­tion état­su­nienne, sur l’absence d’effectivité des moyens de recours et sur le carac­tère dit indé­pen­dant et impar­tial de l’autorité de recours.

Sur la ques­tion de la surveillance de masse, bien que des amélio­ra­tions aient été appor­tées par les États-Unis depuis l’arrêt Schrems II en 2020, celles-ci sont toujours consi­dé­rées par le Parlement comme insuf­fi­santes. En effet, les défi­ni­tions des prin­cipes de propor­tion­na­lité et de néces­sité ainsi que leur champ d’application ne corres­pondent pas aux défi­ni­tions du droit de l’Union.

De plus, il ressort du décret du Président des États-Unis du 7 octobre 2022 sur le renfor­ce­ment des garan­ties appli­cables aux acti­vi­tés de rensei­gne­ment d’origine élec­tro­ma­gné­tique menées par les États-Unis (décret 14086) que la liste des objec­tifs légi­times pouvant être invo­qués pour la collecte de rensei­gne­ments peut être modi­fiée par le Président des États-Unis, et cela même de manière secrète (Sec. 2 (b) (i) (B) du décret 14086).

Le Parlement souligne égale­ment le fait que d’autres lois améri­caines permettent aux auto­ri­tés publiques de collec­ter des données et d’échapper à l’application du décret 14086, tel que le Cloud Act et le Patriot Act.

Sur la ques­tion des voies de recours effec­tives, le Parlement soulève une inéga­lité de trai­te­ment entre les citoyens améri­cains et euro­péens. Malgré la mise en place d’un nouveau méca­nisme de recours à desti­na­tion des citoyens non-améri­cains, celui-ci ne permet pas un accès par la personne concer­née aux données collec­tées à son sujet, ni la possi­bi­lité de recou­rir ou de deman­der des dommages-inté­rêts. Ceci met à mal le carac­tère effec­tif des voies de recours, pour­tant exigé par l’art. 45 par. 2 let. a RGPD.

Parallèlement, le Parlement remet en cause l’indépendance et l’impartialité de la Cour d’examen de la protec­tion des données (Data Protection Review Court, DPRC) instau­rée par le décret 14086. En effet, le Président des États-Unis peut annu­ler des déci­sions rendues par le DPRC et révo­quer les juges pendant leur mandat. De plus, aucun critère d’indépendance n’est prévu pour l’« avocat spécia­lisé » dési­gné pour repré­sen­ter la personne faisant recours. Dès lors, les critères prévus par l’art. 45 par. 2 let. b RGPD ne seraient pas remplis.

On peut noter égale­ment les rappels adres­sés par le Parlement à la Commission. Il souligne, par exemple, qu’une déci­sion d’adéquation est une déci­sion juri­dique et que des inté­rêts poli­tiques ou commer­ciaux ne devraient entrer en compte. À ce titre, on peut émettre des doutes sur le fait que seuls des inté­rêts de protec­tion de la vie privée aient été pris en compte lors de déci­sions d’adéquation anté­rieures rendues pour d’autres pays. On peut notam­ment évoquer les déci­sions d’adéquation pour le Japon et la Corée du Sud, dont les procé­dures étaient – coïn­ci­dence ? – en paral­lèle de négo­cia­tions d’accords-cadres commer­ciaux. Il serait diffi­cile de soute­nir que le marché colos­sal que repré­sentent les États-Unis en matière de trai­te­ment de données person­nel ne pèse pas dans la balance, malgré une volonté impor­tante de protec­tion des données.

Le Parlement soulève égale­ment l’insécurité juri­dique qui découle du cercle vicieux actuel des déci­sions d’adéquation et de leur annu­la­tion subsé­quente. Maximilian Schrems, à l’origine des deux annu­la­tions de méca­nismes de trans­fert, a d’ores et déjà commu­ni­qué à travers son orga­ni­sa­tion NOYB qu’en cas d’adoption de la déci­sion d’adéquation, un recours serait déposé devant les auto­ri­tés de protec­tion des données.

Pour des entre­prises dont les acti­vi­tés mènent à de nombreux trans­ferts de données vers les États-Unis, on peut s’attendre à une certaine réti­cence à chan­ger la manière d’appréhender le cadre contrac­tuel visant les trans­ferts de données. Cette insé­cu­rité pour­rait pous­ser certains orga­nismes à main­te­nir l’utilisation de clauses types pour le trans­fert – méca­nisme prévu à l’art. 46 par. 2 let. c RGPD – de peur d’un revi­re­ment soudain lié à une déci­sion de la CJUE. Il n’est cepen­dant pas certain que cette option soit plus sûre, comme nous avons pu le voir avec les déci­sions d’autorités natio­nales liées à l’utilisation de Google Analytics (notam­ment en France, en Autriche et en Italie).

Cette réso­lu­tion contient des remarques fortes à desti­na­tion de la Commission, dénon­çant « une plus grande indul­gence envers les États-Unis », en lien avec l’absence de clause de cadu­cité dans le projet de déci­sion, qui ferait auto­ma­ti­que­ment expi­rer la déci­sion quatre ans dès son entrée en vigueur. Cette clause de cadu­cité vise à forcer le réexa­men du constat d’adéquation, menant à une nouvelle déci­sion de la Commission. À titre d’exemple, la déci­sion d’adéquation pour le Royaume-Uni comporte une telle « sunset » clause, alors même que le carac­tère adéquat du cadre de protec­tion des données britan­nique est peu débattu.

Si la déci­sion en faveur du méca­nisme de trans­fert UE – États-Unis venait à être adop­tée malgré les nombreux avis contraires, les États-Unis seraient le premier pays à béné­fi­cier d’une adéqua­tion alors qu’ils ne disposent pas de loi fédé­rale de protec­tion des données. L’art. 45 par. 1 RGPD prévoit la possi­bi­lité de rendre une déci­sion d’adéquation pour un « State », mais au vu du champ d’application limité des lois actuel­le­ment en vigueur ou plani­fiées dans certains États améri­cains (qui se limitent à une protec­tion des consom­ma­teurs contre le commerce de leurs données), on imagine diffi­ci­le­ment que ces cadres légaux soient consi­dé­rés comme « substan­tiel­le­ment équi­valent » au cadre européen.

Même si l’adéquation rendue par la Commission est condi­tion­nelle – comme c’est le cas de la déci­sion rendue pour le Canada – , elle simpli­fie­rait les échanges de données vers les États-Unis. Cependant, on peut imagi­ner que les citoyens euro­péens soient méfiants et rechignent à consen­tir au trans­fert de leurs données aux États-Unis.

Du côté suisse, le PFPDT indique dans une commu­ni­ca­tion du 7 octobre 2022 être en train d’examiner la « fact­sheet » publiée par les États-Unis concer­nant le méca­nisme de trans­fert. Ayant aupa­ra­vant toujours suivi les déci­sions de la CJUE, il sera inté­res­sant de voir comment le PFPDT inter­prè­tera les critères prévus dans le nouvel art. 8 OPDo et s’il suivra ou non la Commission. À noter que la compé­tence pour rendre des déci­sions revien­dra désor­mais au Conseil fédé­ral, avec une consul­ta­tion du PFPDT.