Point de départ

La ques­tion des trans­ferts de données person­nelles depuis l’Espace écono­mique euro­péen et la Suisse vers des pays tiers est un véri­table casse-tête, et ce tant pour les auto­ri­tés que pour les personnes privées. Cela est parti­cu­liè­re­ment tangible pour les trans­ferts de données person­nelles vers des pays tiers qui ne sont pas au béné­fice d’une déci­sion d’adéquation.

Pour ces derniers pays, les trans­ferts doivent être enca­drés en utili­sant diffé­rents outils juri­diques, comme les clauses contrac­tuelles types (qui sont en pratique l’outil le plus utilisé), les règles d’entreprise contrai­gnantes, les codes de conduite ou les certi­fi­ca­tions. Ces outils juri­diques doivent permettre d’assurer un niveau de protec­tion des données suffi­sant et appro­prié. À ceci s’ajoutent les pres­crip­tions supplé­men­taires qui doivent être prises lors du recours aux clauses contrac­tuelles types (cf. http://​www​.swiss​pri​vacy​.law/​191 et www​.swiss​pri​vacy​.law/40).

Le cas spéci­fique des USA

Le cas des trans­ferts de données person­nelles depuis l’Espace écono­mique euro­péen et la Suisse vers les États-Unis d’Amérique (USA) est parti­cu­liè­re­ment épineux. Il a fait l’objet de plusieurs sursauts durant ces dernières années, en parti­cu­lier avec l’invalidation par la Cour de justice de l’Union euro­péenne (CJUE) en 2015 du « Safe Harbor » dans le cadre de l’affaire C‑362/​14 du 6 octobre 2015 (arrêt Schrems I), puis  en 2020 du « Privacy Shield EU-US » dans le cadre de l’affaire C‑311/​18 du 16 juillet 2020 (arrêt Schrems II).

Ces deux programmes, mis en place conjoin­te­ment par les repré­sen­tants de l’Union euro­péenne et des USA, repo­saient sur un ensemble de prin­cipes qui permet­taient à certaines entre­prises état­su­niennes de certi­fier qu’elles respec­taient la légis­la­tion euro­péenne en matière de protec­tion des données, ce qui faci­li­tait les trans­ferts trans­at­lan­tiques de données person­nelles. Des versions suisses de ces programmes ont égale­ment été mises en place et approu­vées par le PFPDT. Toutefois après l’in­va­li­da­tion des programmes UE-USA, les programmes suisses ont égale­ment été invalidés.

Depuis l’invalidation du « Privacy Shield EU-US », une certaine insé­cu­rité juri­dique règne en ce qui concerne les trans­ferts trans­at­lan­tiques de données person­nelles. Cette insé­cu­rité est d’au­tant plus impor­tante que la mise en œuvre des outils juri­diques permet­tant d’as­su­rer un niveau de protec­tion suffi­sant et appro­prié (en parti­cu­lier les clauses contrac­tuelles types) demeure floue et contro­ver­sée. Cette situa­tion présente une contra­dic­tion avec la situa­tion factuelle. Il est en effet estimé que les flux de données person­nelles trans­at­lan­tiques sont les plus élevés du monde et repré­sentent une grande partie de la rela­tion écono­mique entre l’Union euro­péenne et les USA.

Vers un nouveau cadre transatlantique ?

Conscients des enjeux, les repré­sen­tants de la Maison-Blanche et de la Commission euro­péenne annon­çaient le 25 mars 2022, dans le cadre d’une confé­rence de presse conjointe, leur volonté commune de restau­rer la situa­tion et avoir conclu un accord de prin­cipe répon­dant aux préoc­cu­pa­tions soule­vées par la CJUE. Cet accord de prin­cipe restait néan­moins à être trans­posé du côté des USA sous la forme d’un nouveau décret prési­den­tiel, pour permettre à la Commission euro­péenne de fonder son analyse en vue d’un projet de déci­sion d’adéquation.

Le 7 octobre 2022, le président Joe Biden a préci­sé­ment signé l’Executive Order on Enhancing Safeguards For United States Signals Intelligence Activities) visant à répondre aux préoc­cu­pa­tions de la CJUE en matière de surveillance élec­tro­nique par les auto­ri­tés améri­caines, pomme de discorde dans les arrêts Schrems I et II. Ce décret prési­den­tiel a ainsi pour but d’offrir aux rési­dents de l’Espace écono­mique euro­péen des protec­tions plus solides contre les acti­vi­tés de « Bulk Surveillance » (ou surveillance de masse). Il annule et remplace le précé­dent décret prési­den­tiel signé en 2014 par le Président Barack Obama.

Les grandes lignes du décret présidentiel

Préalablement à l’analyse des grandes lignes du décret prési­den­tiel, il nous semble impor­tant de rappe­ler briè­ve­ment les leçons de l’arrêt Schrems II. Dans le cadre de celui-ci, la CJUE estime néces­saire – pour qu’un cadre trans­at­lan­tique puisse être correc­te­ment mis en place – que les USA s’assurent notam­ment que :

1. la surveillance de masse par les auto­ri­tés améri­caines soit propor­tion­née au sens de l’art. 52 de la Charte des droits fonda­men­taux de l’UE, et ;
2. toute personne dispose de voies de droit effec­tives pour faire valoir ses droits en matière de protec­tion de la sphère privée et d’autodétermination infor­ma­tion­nelle et que ces atteintes puissent être soumises à un système de contrôle effi­cace, indé­pen­dant et impar­tial, confor­mé­ment à l’ art. 47 de la Charte des droits fonda­men­taux de l’UE.

C’est dans cet esprit que le décret prési­den­tiel a été rédigé. Nous limi­te­rons donc notre analyse à ces deux points, bien que celui-ci intègre égale­ment d’autres chan­ge­ments (cf. pour une autre analyse : David Rosenthal, « EU-US Data Privacy Framework : When and how it will apply to Switzerland »).

Premièrement, la section 2 du décret prési­den­tiel emprunte désor­mais la termi­no­lo­gie de la CJUE pour le test de propor­tion­na­lité vis-à-vis des mesures de surveillance élec­tro­nique. Jusque-là, le précé­dent décret prési­den­tiel prévoyait que « Signals intel­li­gence acti­vi­ties shall be as tailo­red as feasible […] ». Désormais, il est prévu que les mesures de surveillance se doivent d’être « néces­saires » et « propor­tion­nelles ». Malgré une termi­no­lo­gie diffé­rente, il est fort à parier que les pratiques état­su­niennes rela­tives à la surveillance de masse (p. ex. via leurs programmes « PRISM » ou « Upstream ») n’évoluent que margi­na­le­ment, ce qui pour­rait poten­tiel­le­ment être à nouveau criti­qué par la CJUE.

Deuxièmement, la section 3 du décret prési­den­tiel prévoit la créa­tion d’un système de contrôle afin de permettre à tout résident euro­péen de faire valoir ses droits en matière de protec­tion des données. La procé­dure devrait se faire en deux étapes successives.

La première étape est confiée au Civil Liberties Protection Officer (CLPO), ratta­ché au Bureau du Directeur du rensei­gne­ment natio­nal, soit à une branche du gouver­ne­ment.  Le CLPO est en charge d’en­quê­ter sur une éven­tuelle plainte et de déter­mi­ner les mesures correc­tives appro­priées, ainsi que d’in­for­mer le plai­gnant, sans confir­mer ou infir­mer que le plai­gnant a fait l’ob­jet d’ac­ti­vi­tés de surveillance de masse, qu’au­cune viola­tion n’a été décou­verte (à l’instar par exemple d’un droit d’accès indi­rect, comme celui prévu par l’art. 63 de la Loi fédé­rale sur le renseignement).

La seconde étape est quant à elle confiée au Data Protection Review Court. Cette dernière a pour but de four­nir un rapport clas­si­fié sur les infor­ma­tions mettant en lumière une viola­tion de toute auto­rité soumise à la surveillance du Foreign Intelligence Surveillance Court à l’Attorney General Assistant pour la sécu­rité nationale.

Les juges de la Data Protection Review Court seront nommés conjoin­te­ment par l’Attorney General et le Privacy and Civil Liberties Oversight Board (PCLOB). Ils devront être des prati­ciens du droit ayant une expé­rience appro­priée dans les domaines de la protec­tion des données et de la sécu­rité natio­nale. Ils ne devront en aucun cas, durant leur nomi­na­tion, être des employés du gouver­ne­ment des USA.

Il reste à déter­mi­ner, à l’aune du droit de l’UE, si ce système permet réel­le­ment de garan­tir les droits des personnes concer­nées. Ces deux enti­tés étant vrai­sem­bla­ble­ment ratta­chées à la branche exécu­tive du gouver­ne­ment, cela pour­rait poten­tiel­le­ment susci­ter le ques­tion­ne­ment par rapport à l’indépendance requise.

Prochaines étapes

La signa­ture du décret prési­den­tiel va désor­mais permettre à la Commission euro­péenne de rédi­ger un projet de déci­sion d’adéquation en vertu de l’art. 45 RGPD. Dans ce contexte, la Commission euro­péenne a débuté le 13 décembre 2022 le proces­sus d’adop­tion d’une déci­sion d’adé­qua­tion concer­nant le cadre de protec­tion des données UE-USA en mettant en consul­ta­tion un projet de déci­sion. En substance, ce projet de déci­sion d’adé­qua­tion consi­dère que le décret prési­den­tiel « provides compa­rable safe­guards to those of the EU » sans toute­fois véri­ta­ble­ment indi­qué comment la Commission euro­péenne arrive à ce constat, notam­ment au regard du prin­cipe de proportionnalité.

Quoi qu’il en soit, la Commission euro­péenne a désor­mais trans­mis son projet de déci­sion d’adé­qua­tion au Comité euro­péen de la protec­tion des données (CEPD) qui a la compé­tence de rendre un avis concer­nant l’évaluation du carac­tère adéquat du niveau de protec­tion assuré par un pays tiers (art. 70 par. 1 let. s RGPD). La Commission euro­péenne devra égale­ment prendre en compte l’avis des États membres de l’UE. Néanmoins, ni l’avis du CEPD ni l’avis des États membres n’est contrai­gnant. La fin du proces­sus d’adop­tion d’une déci­sion d’adé­qua­tion devra se termi­ner dans le courant de l’été 2023.

Il y a fort à parier que la déci­sion – même si elle devait récol­ter les faveurs des parties concer­nées – soit rapi­de­ment contes­tée devant les tribu­naux natio­naux et euro­péens. Alors même que les personnes soumises au RGPD pour­ront se fier à la déci­sion, un flou juri­dique perdu­rera jusqu’à la déci­sion de la CJUE dans le cas d’une contes­ta­tion. L’association « None Of Your Business (NOYB) » a déjà annoncé que le décret prési­den­tiel lui semblait peu suscep­tible de satis­faire aux garan­ties européennes.

Dans le cadre du proces­sus d’adop­tion (en parti­cu­lier lors du proces­sus de consul­ta­tion), il est vrai­sem­blable que la ques­tion de la densité norma­tive du décret présen­tiel – soit une instruc­tion de compor­te­ment à l’at­ten­tion des admi­nis­tra­tions et non une loi au sens formel ou maté­riel –, respec­ti­ve­ment l’ap­pli­ca­tion du prin­cipe de propor­tion­na­lité soit ques­tion­née. Cela est d’au­tant plus vrai que le décret prési­den­tiel pour­rait être annulé ou remplacé par la prochaine admi­nis­tra­tion prési­den­tielle faisant ainsi de lui un outil très poli­tique. Le légis­la­teur fédé­ral des USA planche actuel­le­ment sur une légis­la­tion fédé­rale en matière de protec­tion des données (American Data Privacy and Protection Act), dont les tenants et abou­tis­sants sont résu­més par le Congressionnal Research Service.

Du point de vue de la Suisse, un nombre impor­tant de ques­tions demeure, en parti­cu­lier s’agis­sant de savoir si notre pays peut être consi­déré comme un « Qualifying State ». Cela dit, si la Commission euro­péenne venait à prendre une déci­sion d’adé­qua­tion, il est probable que la Suisse lui emboî­te­rait le pas, et déci­de­rait à son tour d’adop­ter une déci­sion d’adé­qua­tion (le cas échéant en y ajou­tant un Swiss finish).