Adéquation UE – États-Unis : le retour ? Point de situation et analyse de la Résolution du Parlement européen
Le 11 mai 2023, le Parlement européen a rendu une résolution sur l’adéquation du cadre de protection des données des États-Unis. Celle-ci s’inscrit dans le cadre d’une nouvelle procédure d’adéquation lancée par la Commission européenne et de la publication du projet de décision d’adéquation le 13 décembre 2022 (sur ce sujet : www.swissprivacy.law/192/).
Bien que l’avis du Parlement ne soit pas contraignant, au même titre que l’opinion du Comité européen de la protection des données ayant rendu son avis le 28 février 2023, les arguments et points soulevés présentent un avis tranché sur la question de l’adéquation des États-Unis et méritent une analyse.
Pour rappel, les décisions d’adéquation, instaurées par l’art. 45 RGPD, constituent l’un des mécanismes prévus par le RGPD permettant le transfert de données à caractère personnel vers des pays tiers. La Commission est compétente pour constater par voie de décision le caractère adéquat du cadre de protection des données d’un pays, permettant ainsi une libre circulation des données personnelles entre l’Union européenne et le pays concerné. Un examen approfondi de la législation interne est fait, ainsi que de son application effective dans l’ordre juridique concerné.
La question de l’adéquation des États-Unis fait l’objet de grandes discussions depuis plusieurs années, tant dans l’UE qu’en Suisse. Deux accords de transferts, le Safe Harbour et le Privacy Shield, ont été respectivement annulés par la CJUE en 2015 (C‑362/14) et 2020 (C‑311/18). La Cour estimait que les accords ne garantissaient pas un niveau de protection adéquat. La Suisse a suivi l’opinion européenne, le PFPDT annonçant dans un communiqué du 8 septembre 2020 retirer les États-Unis de sa liste de pays considérés comme adéquats.
Dans sa résolution, le Parlement présente un certain nombre d’arguments. Ceux-ci portent sur le manque d’encadrement suffisant de la surveillance de masse permise par la législation étatsunienne, sur l’absence d’effectivité des moyens de recours et sur le caractère dit indépendant et impartial de l’autorité de recours.
Sur la question de la surveillance de masse, bien que des améliorations aient été apportées par les États-Unis depuis l’arrêt Schrems II en 2020, celles-ci sont toujours considérées par le Parlement comme insuffisantes. En effet, les définitions des principes de proportionnalité et de nécessité ainsi que leur champ d’application ne correspondent pas aux définitions du droit de l’Union.
De plus, il ressort du décret du Président des États-Unis du 7 octobre 2022 sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique menées par les États-Unis (décret 14086) que la liste des objectifs légitimes pouvant être invoqués pour la collecte de renseignements peut être modifiée par le Président des États-Unis, et cela même de manière secrète (Sec. 2 (b) (i) (B) du décret 14086).
Le Parlement souligne également le fait que d’autres lois américaines permettent aux autorités publiques de collecter des données et d’échapper à l’application du décret 14086, tel que le Cloud Act et le Patriot Act.
Sur la question des voies de recours effectives, le Parlement soulève une inégalité de traitement entre les citoyens américains et européens. Malgré la mise en place d’un nouveau mécanisme de recours à destination des citoyens non-américains, celui-ci ne permet pas un accès par la personne concernée aux données collectées à son sujet, ni la possibilité de recourir ou de demander des dommages-intérêts. Ceci met à mal le caractère effectif des voies de recours, pourtant exigé par l’art. 45 par. 2 let. a RGPD.
Parallèlement, le Parlement remet en cause l’indépendance et l’impartialité de la Cour d’examen de la protection des données (Data Protection Review Court, DPRC) instaurée par le décret 14086. En effet, le Président des États-Unis peut annuler des décisions rendues par le DPRC et révoquer les juges pendant leur mandat. De plus, aucun critère d’indépendance n’est prévu pour l’« avocat spécialisé » désigné pour représenter la personne faisant recours. Dès lors, les critères prévus par l’art. 45 par. 2 let. b RGPD ne seraient pas remplis.
On peut noter également les rappels adressés par le Parlement à la Commission. Il souligne, par exemple, qu’une décision d’adéquation est une décision juridique et que des intérêts politiques ou commerciaux ne devraient entrer en compte. À ce titre, on peut émettre des doutes sur le fait que seuls des intérêts de protection de la vie privée aient été pris en compte lors de décisions d’adéquation antérieures rendues pour d’autres pays. On peut notamment évoquer les décisions d’adéquation pour le Japon et la Corée du Sud, dont les procédures étaient – coïncidence ? – en parallèle de négociations d’accords-cadres commerciaux. Il serait difficile de soutenir que le marché colossal que représentent les États-Unis en matière de traitement de données personnel ne pèse pas dans la balance, malgré une volonté importante de protection des données.
Le Parlement soulève également l’insécurité juridique qui découle du cercle vicieux actuel des décisions d’adéquation et de leur annulation subséquente. Maximilian Schrems, à l’origine des deux annulations de mécanismes de transfert, a d’ores et déjà communiqué à travers son organisation NOYB qu’en cas d’adoption de la décision d’adéquation, un recours serait déposé devant les autorités de protection des données.
Pour des entreprises dont les activités mènent à de nombreux transferts de données vers les États-Unis, on peut s’attendre à une certaine réticence à changer la manière d’appréhender le cadre contractuel visant les transferts de données. Cette insécurité pourrait pousser certains organismes à maintenir l’utilisation de clauses types pour le transfert – mécanisme prévu à l’art. 46 par. 2 let. c RGPD – de peur d’un revirement soudain lié à une décision de la CJUE. Il n’est cependant pas certain que cette option soit plus sûre, comme nous avons pu le voir avec les décisions d’autorités nationales liées à l’utilisation de Google Analytics (notamment en France, en Autriche et en Italie).
Cette résolution contient des remarques fortes à destination de la Commission, dénonçant « une plus grande indulgence envers les États-Unis », en lien avec l’absence de clause de caducité dans le projet de décision, qui ferait automatiquement expirer la décision quatre ans dès son entrée en vigueur. Cette clause de caducité vise à forcer le réexamen du constat d’adéquation, menant à une nouvelle décision de la Commission. À titre d’exemple, la décision d’adéquation pour le Royaume-Uni comporte une telle « sunset » clause, alors même que le caractère adéquat du cadre de protection des données britannique est peu débattu.
Si la décision en faveur du mécanisme de transfert UE – États-Unis venait à être adoptée malgré les nombreux avis contraires, les États-Unis seraient le premier pays à bénéficier d’une adéquation alors qu’ils ne disposent pas de loi fédérale de protection des données. L’art. 45 par. 1 RGPD prévoit la possibilité de rendre une décision d’adéquation pour un « State », mais au vu du champ d’application limité des lois actuellement en vigueur ou planifiées dans certains États américains (qui se limitent à une protection des consommateurs contre le commerce de leurs données), on imagine difficilement que ces cadres légaux soient considérés comme « substantiellement équivalent » au cadre européen.
Même si l’adéquation rendue par la Commission est conditionnelle – comme c’est le cas de la décision rendue pour le Canada – , elle simplifierait les échanges de données vers les États-Unis. Cependant, on peut imaginer que les citoyens européens soient méfiants et rechignent à consentir au transfert de leurs données aux États-Unis.
Du côté suisse, le PFPDT indique dans une communication du 7 octobre 2022 être en train d’examiner la « factsheet » publiée par les États-Unis concernant le mécanisme de transfert. Ayant auparavant toujours suivi les décisions de la CJUE, il sera intéressant de voir comment le PFPDT interprètera les critères prévus dans le nouvel art. 8 OPDo et s’il suivra ou non la Commission. À noter que la compétence pour rendre des décisions reviendra désormais au Conseil fédéral, avec une consultation du PFPDT.
Proposition de citation : Charlotte Beck, Adéquation UE – États-Unis : le retour ? Point de situation et analyse de la Résolution du Parlement européen, 4 juillet 2023 in www.swissprivacy.law/237
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.