Prenant en compte les conclusions de l’arrêt « Schrems II » du 16 juillet 2020, le nouvel Executive Order signé par le Président Biden, le 7 octobre 2022, introduit de nouvelles garanties notamment (i) en limitant les possibilités d’accès des services de renseignement américains aux données de l'Union européenne et (ii) en créant un nouvel organe pour accueillir les recours : la Data Protection Review Court. Ces mesures sont mises en œuvre en vue de favoriser l’adoption d’une décision d’adéquation de la Commission européenne qui permettrait d’apporter une pleine conformité aux transferts de données personnelles entre l’Union européenne et les entreprises bénéficiant de la certification au futur mécanisme, le Data Privacy Framework.
Le 7 octobre 2022, le Président des États-Unis, Joe Biden, a signé un décret (l’Executive Order) relatif au « renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis », disponible ici. Cet Executive Order est le fondement d’une nouvelle approche américaine permettant la mise en place du Data Privacy Framework remplaçant le mécanisme de transfert du Privacy Shield. C’est aussi la mise en pratique de l'accord de principe annoncé le 25 mars 2022 par la Présidente de la Commission européenne, Ursula Von der Leyen, et Joe Biden.
L’Executive Order met en place des garanties autour de deux axes principaux :
- De nouveaux principes à respecter et des garanties additionnelles destinés à mieux encadrer les activités de renseignement :
- L’Executive Order établit de nouveaux principes que devront respecter les futurs traitements de données personnelles inhérents aux activités de renseignement. En particulier, ces activités seront soumises à des garanties appropriées qui veilleront à ce que la vie privée et les libertés civiles soient respectées, quels que soit la nationalité ou le lieu de résidence des individus concernés.
- Ces activités de renseignement ne devront être menées que dans la mesure où elles sont nécessaires et proportionnées, dans le but de parvenir à un équilibre adéquate entre l'importance de l’activité de renseignement et l'impact sur la vie privée et les libertés civiles de toutes les personnes concernées.
- L’Executive Order impose également que les activités de renseignements ne soient menées que pour l’un des objectifs légitimes listés par l’EO parmi lesquels : la protection contre les capacités et les activités militaires étrangères ; la protection contre le terrorisme ; la protection contre l'espionnage ; et la protection contre les menaces de cybersécurité créées ou exploitées par un gouvernement étranger.
- L’Executive Order liste également les finalités prohibées pour lesquelles les activités de renseignements ne peuvent être menées. Il s’agit notamment d’interdire des activités tendant à : supprimer la critique, la dissidence ou la libre expression d’idées ou d’opinions politiques par des individus ou la presse ; restreindre les intérêts légitimes en matière de protection de la vie privée; restreindre le droit à un avocat; ou désavantager les personnes en raison de leur origine ethnique, de leur race, de leur sexe, de leur genre, de leur orientation sexuelle ou de leur religion.
- La création d’une autorité de contrôle et d’un mécanisme de recours pour les personnes concernées
- Outre l’instauration de ces nouvelles exigences, l’EO établit un nouveau mécanisme de recours à deux niveaux, avec une autorité indépendante et contraignante.
- Premier niveau – le CLPO : les citoyens de l'Union européenne pourront déposer une plainte auprès de l’Officier de protection des libertés civiles (« Civil Liberties Protection Officer ») chargé de contrôler la communauté du renseignement américaine et de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignement américaines.
- Second niveau – le DPRC : les individus auront la possibilité de faire appel de la décision du Civil Liberties Protection Officer devant la Data Protection Review Court nouvellement créée. Cette Cour sera composée de membres nommés en dehors du gouvernement américain sur la base de qualifications spécifiques. Ces derniers feront à cet égard l’objet d’une protection spécifique puisqu’ils ne pourront être licenciés que pour des motifs graves (tels que la condamnation pour un crime, ou le fait d'être jugé mentalement ou physiquement inapte à remplir les tâches) et ne pourront recevoir d'instructions de la part du gouvernement. La Data Protection Review Court aura le pouvoir d'enquêter sur les plaintes déposées par des personnes concernées de l'Union européenne, y compris d'obtenir des informations pertinentes auprès des agences de renseignement, et pourra prendre des décisions correctives contraignantes telles que la suppression des données si elle l’estime nécessaire.
La prochaine étape : le nouveau mécanisme de transfert
L’Executive Order est une avancée déterminante et ouvre la voie à l’adoption du nouveau mécanisme de transfert de données.
La Commission européenne a publié une FAQ, publiée ici en même temps que la publication de l’Executive Order. Elle y indique entamer la prochaine étape, c’est-à-dire le processus de détermination de l’adéquation qui permettra aux entreprises certifiées de transférer des données personnelles entre l’UE et les États-Unis en vertu du nouveau Data Privacy Framework.
Ce Data Privacy Framework remplacera le Privacy Shield invalidé. Il devrait falloir 6 mois à la Commission pour statuer sur l’adéquation. Au cours du processus d’examen, les autorités européennes de protection des données auront la possibilité de soumettre leur avis mais ceci ne seront pas contraignant pour la Commission européenne (voir les grandes lignes du processus de l’IAPP, ici).
Que devez-vous faire maintenant ?
-
Mettre à jour vos TIAs actuels, car l’Executive Order a un effet immédiat sur le risque d’accès par les agences de renseignement américaines à vos données transférées sous les CCT ou les BCR.
-
Surveiller la réaction des autorités européennes de protection des données et leur position concernant l’Executive Order jusqu’à l’adoption d’une décision d’adéquation. En effet, les autorités de protection vont devoir tenir compte du nouveau Executive Order lorsqu’elles évaluent la légalité d’un transfert.
-
Suivre l’évolution de la situation liée à (i) la publication par le Département du commerce américain des nouveaux principes du Data Privacy Framework, (ii) l’adoption de la décision d’adéquation couvrant le Data Privacy Framework, et (iii) les éventuels recours introduits par les associations et lobbyistes.
Authored by Patrice Navarro and Gabriel Privat.