Pour transférer des données à caractère personnel vers un pays qui ne fait pas partie de l’Union européenne, comme les États-Unis, des garanties doivent être apportées par l’entreprise en charge des traitements de données. Ces garanties doivent permettre de justifier que les données garderont un niveau élevé de protection, au moins équivalent au RGPD.

Les garanties peuvent être de plusieurs natures :

  • une décision d’adéquation de la Commission européenne avec le pays vers lequel les données sont exportées ;
  • des mesures spécifiques prises par le pays, par exemple une législation spécifique ; ou
  • des mesures (techniques, légales et/ou organisationnelles) prises par l’entreprise qui exporte les données.

Concernant les États-Unis, une décision d’adéquation (nommée « Safe Harbour ») avait été prise par la Commission européenne en juillet 2000. Suite aux révélations d’Edward Snowden, en juin 2013, sur les pratiques de surveillance de masse des États-Unis, cette décision a toutefois été invalidée[1] par la CJUE en octobre 2015, estimant que les pratiques des États-Unis ne permettaient pas de garantir une protection adaptée des données.

Quatre mois plus tard, en février 2016, la Commission adopte une nouvelle décision d’adéquation (« Privacy Shield »[2]). Cette seconde décision a toutefois été invalidée[3] par CJUE en juillet 2020, car les pratiques de surveillance de masse des agences de renseignement états-uniennes ont, une nouvelle fois, été jugées incompatibles avec les droits et protections des européens.

« Dans le cadre du programme PRISM, les fournisseurs de services Internet [américains] sont tenus […] de fournir à la NSA toutes les communications envoyées et reçues par un "sélecteur", une partie d’entre elles étant également transmise au FBI et à la [CIA].

S’agissant du programme UPSTREAM, […] les entreprises de télécommunications [états-uniennes] exploitant la "dorsale" de l’internet – c’est-à-dire le réseau de câbles, commutateurs et routeurs – sont contraintes de permettre à la NSA de copier et de filtrer les flux de trafic Internet afin de recueillir des communications envoyées par ou reçues par ou concernant le ressortissant non américain visé par un « sélecteur ». Dans le cadre dudit programme, la NSA a […] accès tant aux métadonnées qu’au contenu des communications concernées. »

Suite à l’invalidation de cette seconde décision d’adéquation, il n’était plus autorisé de transférer des données à caractère personnel vers les États-Unis, même en prenant des mesures contractuelles, puisqu’elles n’engageaient pas les services gouvernementaux américains et ne permettaient pas d’informer les personnes concernées qu’elles ont fait l’objet d’une demande (FISA), non encadrée, des services de renseignement américains[4]. L’utilisation de mesures organisationnelles ou techniques n’était plus non suffisante pour justifier un niveau de protection « substantiellement équivalent » au RGPD, puisqu’elles ne permettaient pas de compenser les pratiques de surveillance des États-Unis.

Certaines entreprises ont toutefois continué d’exporter des données vers les États-Unis et ont été sanctionnées. C’est le cas notamment de META (ex-Facebook), sanctionnée d’une amende d’1,2 milliard d’euros pour avoir transféré les données de ses utilisateurs européens vers les États-Unis[5], et de l’opérateur suédois TELE2, sanctionné d’une amende d’1 million d’euros pour avoir effectué des transferts de données vers les États-Unis avec Google Analytics[6].

En juillet 2023, c’est-à-dire trois ans après l’invalidation de la seconde décision d’adéquation, une troisième décision d’adéquation (« Data Privacy Framework »[7]) est adoptée par la Commission européenne.

Cette nouvelle décision, prise contre l’avis de l’EDPB[8] et de la Commission LIBE[9] du Parlement européen, est toujours en cours à ce jour. Elle est toutefois vivement critiquée. Sa probabilité d’annulation est jugé « assez élevé » par l’une des autorités allemandes de protection des données[10]. Un recours a, par ailleurs, été déposé par le député et membre de la CNIL, Phillipe Latombe[11]. Un autre recours est également en préparation par l’organisation militante NOYB[12], dont le fondateur Max Schrems est à l’origine de l’invalidation des deux premiers accords.

Dans l’attente d’une réponse détaillée de la CJUE et pour ne pas compromettre a confindentialité des données, il est donc plus prudent de ne pas exporter des données vers les États-Unis..

Notes et références

  1. La CJUE a invalidé la première décision d’adéquation UE-US (Safe Harbour) le 6 octobre 2015 (source : CJUE, Shrems c/ DPC, C‑362/14, ECLI:EU:C:2015:650).
  2. L’Union européenne présente le « bouclier de protection des données UE-États-Unis » (Privacy Shield) en 2016 (source : Commission européenne, communiqué du 29 février 2016).
  3. La CJUE a invalidé la seconde décision d’adéquation UE-US (Privacy Shield) le 16 juillet 2020 (source : CJUE, Shrems c/ DPC, C-311/18, ECLI:EU:C:2020:559)
  4. L’autorité irlandaise (la DPC) a sanctionné la société META (ex- Facebook), car des transferts de données vers les états-Unis étaient effectués, malgré de nombreuses mesures additionnelles prises par la société. La DPC a jugé que les mesures prises ne permettaient pas de compenser les « manquements de la législation américaine identifiés par la CJUE ». Voir « FACEBOOK sanctionnée pour avoir transféré les données de ses utilisateurs vers les États-Unis »
  5. Voir « FACEBOOK sanctionnée pour avoir transféré les données de ses utilisateurs vers les États-Unis »
  6. Voir « TELE2 – Sanction de 1 M€ de l’autorité suédoise suite à l’utilisation de Google Analytics »
  7. Voir « DATA PRIVACY FRAMEWORK – La Commission européenne adopte une nouvelle décision d’adéquation avec les États-Unis »
  8. Voir « DATA PRIVACY FRAMEWORK – La Commission européenne de protection des données émet un avis critique sur la décision d’adéquation en préparation avec les États-Unis »
  9. Voir « DATA PRIVACY FRAMEWORK – Le Parlement européen incité à ne pas adopter une nouvelle décision d’adéquation avec les États-Unis par sa Commission LIBE »
  10. Voir « DATA PRIVACY FRAMEWORK – L’autorité allemande de protection des données du land de Thuringe met en garde sur la légalité des transferts de données vers les États-Unis »
  11. Voir « DATA PRIVACY FRAMEWORK – Le député et membre de la CNIL Phillipe Latombe dépose un recours à la CJUE pour obtenir l’annulation de la décision d’adéquation avec les États-Unis »
  12. NOYB annonce un recours contre le Data Privacy Framework, estimant qu’il est « en grande partie une copie du Privacy Shield » (source: NOYB, juillet 2023, en anglais).
Sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • CJUE : Cour de justice de l'Union européenne
  • FISA : Foreign Intelligence Surveillance Act
  • EDPB : European Data Protection Board
  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • NOYB : None Of Your Business