Transfert de données personnelles vers les Etats-Unis : état de la situation

L’impact des jurisprudences Schrems sur le transfert des données personnelles vers les Etats-Unis

En juillet 2000, la Commission Européenne décidait de l’adéquation du « Safe Harbor », accord entre l’UE et les Etats-Unis régulant la protection des données dans l’objectif de permettre à ces derniers d’accueillir les données personnelles des européens. En octobre 2015, Max Schrems, activiste autrichien militant pour la protection des données personnelles, obtenait l’invalidation, par la Cour de Justice de l’Union Européenne (CJUE), du « Safe Harbor » (arrêt Schrems I). 

Afin de remplacer ce système, la Commission Européenne et le gouvernement américain adoptaient en 2016 un nouvel accord baptisé « Privacy Shield ». Cependant, dès 2017, de nombres plaintes étaient déposées dans l’UE par None of Your Business, organisation non gouvernementale fondée par Max Schrems, soulevant l’illégalité de l'utilisation de Google Analytics ou de Facebook Connect. En parallèle, les autorités de contrôle nationales réunies au sein du Comité Européen de la Protection des Données, soulevaient deux problématiques majeures : 

• Les carences du « Privacy Shield », notamment l'absence d'accompagnement des entreprises américaines s'auto-déclarant compatibles, les possibilités de recours et d’accès illusoires, le manque de surveillance des entreprises se disant en conformité…
• L’hégémonie du système américain permettant aux autorités de déroger au cadre général pour des raisons de sécurité nationale. 

Le 16 juillet 2020, dans une nouvelle décision Schrems II, la CJUE expliquait que la surveillance opérée par les agences de renseignement américaines aux Etats-Unis (notamment la NSA) était insuffisamment encadrée pour être conforme aux exigences du RGPD. Le « Privacy Shield » était donc invalidé, la loi américaine ne permettant pas d’assurer un niveau de protection des données personnelles suffisant pour citoyens européens. 

Le transfert des données personnelles vers les Etats-Unis en l’absence de décision d’adéquation

Les Etats-Unis ne bénéficiant plus de décision d’adéquation, les RT souhaitant transférer des données personnelles vers ce pays doivent assurer une protection desdites données au moins équivalente à celle prévue par le RGPD. 

Concrètement, il convient de faire une analyse au cas par cas : 

• Identifier la localisation des prestataires et la législation applicable en matière de protection de données personnelles (comparer les offres et essayer autant que possible de privilégier les prestaires intra UE. Bien que Google Analytics reste la solution la plus utilisée, des alternatives européennes existent comme Matomo Analytics par exemple) ; 
• Encadrer les transferts
• cadre pratique : limiter à ce qui est strictement nécessaire ; 
• cadre juridique : rédiger un accord de traitement des données et utiliser les clauses contractuelles types de la Commission Européenne ;
• cadre technique : chiffrement des données (impossible pour les données « en clair ») avec une clé de chiffrement détenue par le RT au sein de l’UE ;
• Mettre en place des mesures organisationnelles telles que la régionalisation de l’hébergement, afin de limiter les potentielles demandes d’accès des autorités publiques en matière de renseignement ;
• Instituer des règles d’entreprise contraignantes c’est-à-dire une politique interne de protection des données personnelles en cas de transfert ;
• Réaliser une analyse d’impact décrivant les traitements effectués, évaluant juridiquement la nécessité et la proportionnalité de ceux-ci et étudiant techniquement les risques concernant les données personnelles ;
• Informer les personnes concernées de tout transfert de façon transparente ;

Le fait que les transferts de données personnelles vers les Etats-Unis ne soient plus couverts par une décision d’adéquation a donc très largement compliqué la vie des entreprises réalisant ces transferts.

Vers un Privacy Shield II ou un Schrems III ?

Un nouvel accord de principe a été signé le 25 mars dernier entre l’UE et les Etats-Unis afin de permettre une protection suffisante des données personnelles dans le cadre des transferts transatlantiques.

Les principes clés de cet accord sont les suivants :

• libre circulation des données, en toute sécurité, entre l'UE et les entreprises américaines participantes ;
• nouvel ensemble de règles et de garanties contraignantes visant à limiter l'accès des services de renseignement américains à ce qui est nécessaire et proportionné à la protection de la sécurité nationale ;
• nouveau système de recours effectif à deux niveaux pour enquêter et résoudre les plaintes des européens sur l'accès aux données par les services de renseignement américains : création d’un tribunal indépendant ;
• obligations strictes pour les entreprises traitant des données transférées depuis l'UE : mécanisme de certification d’adhésion aux principes par l'intermédiaire du ministère du commerce des États-Unis ;
• mécanismes spécifiques de suivi et de révision.

Cet accord démontre la volonté des Etats-Unis d’offrir davantage de garantie de protection et devrait permettre d’aboutir à une nouvelle décision d’adéquation facilitant les flux de données personnelles entre l’UE et les Etats-Unis. 

Ce « Privacy Shield II » est bien évidemment motivé par des intérêts économiques importants puisque les flux de données continus sous-tendent environ 900 milliards d'euros de commerce transfrontalier chaque année. Cependant, comme ses prédécesseurs, il devra certainement passer l’épreuve de la CJUE, Max Shrems se préparant d’ores et déjà à agir.