Transfert des données personnelles UE/USA ● Décision d'adéquation du 10 juillet 2023 de la Commission européenne (secteur commercial)

Décision d'exécution de la Commission du 10 juillet 2023, en application du règlement (UE) 2016/679 du Parlement européen et du Conseil sur le niveau de protection adéquat des données à caractère personnel au titre du cadre UE-États-Unis de protection des données à caractère personnel, C(2023) 4745 final (en anglais)

Le 10 juillet dernier, la Commission européenne a officiellement adopté une nouvelle décision d'adéquation sur le cadre UE-États-Unis de protection des données à caractère personnel.

Les données personnelles pourront circuler librement de l'UE vers des entreprises aux États-Unis qui participent à ce nouveau cadre de protection ("Data Privacy Framework") dont la liste sera gérée et rendue publique par le ministère américain du commerce, quels que soient les mécanismes de transfert utilisés (clauses contractuelles types, règles d'entreprise contraignantes...).

La décision d'adéquation fait suite à l'adoption par le président américain le 7 octobre 2022 de l'Executive Order (E.O.)14086 "Enhancing Safeguards for United States Signals Intelligence Activities" (Décret exécutif "Renforcement des garanties pour les activités de renseignement sur les signaux des États-Unis") qui garantit que les données ne peuvent être consultées par les agences de renseignement américaines que dans la mesure nécessaire et proportionnée, établit une instance indépendante et un mécanisme de recours impartial pour traiter et résoudre les plaintes concernant la collecte des données à des fins de sécurité nationale :

1. Nouvelles exigences en matière de collecte et de traitement des données personnelles par les services de renseignement américains, quelle que soit la nationalité de la personne concernée. Il est exigé que les activités de renseignement soient "nécessaires" et "proportionnées" et qu'elles soient entreprises dans le cadre de l'un des douze objectifs énumérés en matière de sécurité nationale et de renseignement.
2. Extension de la surveillance des programmes de renseignement par les agences gouvernementales américaines. Le Civil Liberties Protection Officer (CLPO) (Responsable de la protection des libertés civiles) nommé par le Director of National Intelligence (DNI) (Directeur du renseignement national) doit procéder à une évaluation avant toute nouvelle opération de collecte de renseignements. La collecte en vrac ne peut être autorisée que lorsque les renseignements ne peuvent être raisonnablement obtenus par une collecte ciblée. En outre, les agences de renseignement doivent conserver la documentation relative à la collecte de données à caractère personnel et mettre à jour leurs politiques et procédures afin d'assurer un contrôle efficace des nouvelles garanties.
3. Création d'un mécanisme de recours pour les personnes des "qualifying states" (États admissibles) qui affirment que leurs données à caractère personnel ont été collectées illégalement dans le cadre de programmes de renseignement. Les personnes peuvent déposer une plainte auprès du CLPO, qui a le pouvoir d'enquêter sur les plaintes et de rendre des décisions contraignantes à l'encontre des agences de renseignement. Les personnes peuvent également faire appel des décisions du CLPO devant la Data Protection Review Court (DPRC), (Cour de révision de la protection des données) qui a été établie par des règlements émis par l'Attorney General (procureur général) des États-Unis. La DPRC sera composée d'au moins six juges indépendants, nommés en dehors du gouvernement américain et spécialisés dans les questions de sécurité nationale. Les juges ne seront pas soumis à la supervision quotidienne de l'Attorney General et ne pourront pas être révoqués ou faire l'objet d'une mesure défavorable du fait de leur fonction. Les personnes seront représentées devant la DPRC par des avocats spéciaux et les décisions de la DPRC seront définitives et contraignantes.

Ce nouveau cadre répond aux préoccupations soulevées par la Cour de justice de l'Union européenne (CJUE) dans l'arrêt Schrems II du 16 juillet 2020 (Affaire C-311/18) qui avait invalidé la précédente décision d'adéquation du bouclier de protection des données UE-États-Unis (Privacy Shield). La CJUE avait estimé que le droit américain "ne prévoit pas les limitations et les garanties nécessaires à l’égard des ingérences autorisées par sa règlementation nationale et n’assure pas non plus une protection juridictionnelle effective contre de telles ingérences » (point 168). Plusieurs programmes de surveillance permettaient en effet à des agences de renseignement américaines de collecter et traiter massivement des données de résidents européens sans qu'ils ne bénéficient d’un droit de recours effectif contre ces ingérences.

* * *

Le transfert de données personnelles de Monaco vers les Etats-Unis

Pour rappel, les transferts de données vers les Etats-Unis qui ne font pas partie de la liste des pays disposant d'un niveau de protection adéquat au sens de l'article 20 de la Loi n° 1.165 du 23 décembre 1993 consolidée, sont soumis à autorisation préalable de la Commission de Contrôle des Informations Nominatives (CCIN).

Liste des pays disposant d'un niveau de protection adéquat : Allemagne, Andorre, Argentine, Autriche, Belgique, Bulgarie, Canada, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Guernesey, Hongrie, Irlande, Islande, Italie, Ile de Man, Iles Féroé, Jersey, Lettonie, Liechtenstein, Lituanie, Luxembourg, Malte, Norvège, Nouvelle-Zélande, Pays-Bas, Pologne, Portugal, Roumanie, Royaume Uni, Slovaquie, Slovénie, Suède, Suisse, République Tchèque, Uruguay.

* * *