Voici pourquoi le mécanisme de transfert des données vers les USA sera probablement annulé

Malgré l’avis négatif du Parlement européen et forte du blanc-seing donné par les Etats membres, la Commission européenne a adopté ce 10 juillet 2023 la décision d’adéquation qui permet de reprendre les transferts de données personnelles entre l’UE et les USA. Nous expliquons ci-dessous les raisons de la probable annulation prochaine de cette décision par la Cour de justice.

Rappel : les transferts de données hors UE

Selon le RGPD (art. 45), les transferts hors UE sont interdits, sauf à démontrer que l’on est dans une des hypothèses suivantes :

  1. Niveau de protection adéquat. Le pays de destination a une législation reconnue par la Commission Européenne comme offrant une protection des données personnelles équivalente à celle existante en Europe ;
  2. CCT. Les organismes expéditeur et destinataire des données ont signé entre eux des clauses contractuelles types (CCT), sur la base des modèles de la Commission Européenne ;
  3. BCR. Le transfert a lieu entre des entités d’un groupe ayant adopté des règles internes d’entreprise (Binding corporate rules ou BCR). Ces règles internes constituent un code de conduite propre à l’entreprise, qui encadre la sécurité des transferts de données ;
  4. Code de conduite approuvé. Le destinataire des données applique un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l’autorité européenne de protection des données compétente ;
  5. Certification. Une certification, assortie de l’engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant dans le pays hors UE d’appliquer les garanties appropriées ;
  6. Cas exceptionnels. Dans certains cas particuliers prévus par le Règlement général sur la protection des données (par exemple, la sauvegarde de la vie d’une personne) ;
  7. Autorisation préalable. Une autorisation préalable de l’autorité dont le responsable relève, en cas de clauses contractuelles propres différentes des clauses types ou en cas de dispositions intégrées dans les arrangements entre autorités et organismes publics.

Le cas américain

Vu l’importance des échanges économiques entre l’Union européenne et les États-Unis, notamment pour permettre aux GAFA de fonctionner, les autorités ont créé un mécanisme spécifique : le safe harbour. Moyennant l’engagement d’une société américaine de se conformer aux principes énoncés dans ce texte, elle était considérée comme présentant un niveau interne de protection suffisant.

Le safe harbour a été annulé par la Cour de justice de l’Union européenne. C’est l’arrêt Schrems I.

Les autorités ont remplacé cela par un autre mécanisme : le privacy shield.

En juillet 2020, l’arrêt Schrems II de la CJUE a invalidé la décision d’adéquation prise sur cette base.

Les motifs d’annulation concernent la législation américaine, et plus particulièrement les activités de renseignements qui sont largement incontrôlables et incontrôlées, surtout pour les citoyens non-américains. Or, quand on connaît la propension des États-Unis à invoquer la sécurité nationale, on mesure l’importance de cette question.

Pour corriger les choses et permettre la reprise des transferts, le président Biden a signé en octobre 2022 un executive order présidentiel, prévoyant de nouveaux principes à respecter et des garanties additionnelles destinés à mieux encadrer les activités de renseignement.

En substance :

  • Les traitements inhérents aux activités de renseignement seront soumis à des garanties appropriées qui veilleront à ce que la vie privée et les libertés civiles soient respectées, quels que soit la nationalité ou le lieu de résidence des individus concernés.
  • Ces activités de renseignement devront respecter les principes de nécessité et proportionnalité : le but est de parvenir à un équilibre adéquat entre l’importance de l’activité de renseignement et l’impact sur la vie privée et les libertés civiles de toutes les personnes concernées.
  • Les activités de renseignements devront être limitées à l’un des objectifs légitimes listés : la protection contre les capacités et les activités militaires étrangères ; la protection contre le terrorisme ; la protection contre l’espionnage ; et la protection contre les menaces de cybersécurité créées ou exploitées par un gouvernement étranger.
  • Certaines finalités sont prohibées pour les activités de renseignements : supprimer la critique, la dissidence ou la libre expression d’idées ou d’opinions politiques par des individus ou la presse ; restreindre les intérêts légitimes en matière de protection de la vie privée ; restreindre le droit à un avocat ; ou désavantager les personnes en raison de leur origine ethnique, de leur race, de leur sexe, de leur genre, de leur orientation sexuelle ou de leur religion.

C’est sur la base de ce nouveau texte américain et constatant que cela avait corrigé les défauts affectant le mécanisme précédent, que la Commission vient de rendre sa décision d’adéquation.

Les mécanismes de contrôle et de recours effectif : CLPO & DPRC

La Cour de justice s’est montrée très claire : il est impensable de valider une décision d’adéquation si, dans le pays de destination (les USA en l’occurrence), les citoyens de l’Union sont privés d’un mécanisme de contrôle et d’un recours effectif permettant de s’assurer du respect de leurs droits.

Il s’agit véritablement d’un nœud gordien : puisque ce sont les activités de renseignements qui sont au cœur du problème, et que celles-ci sont intimement liées à la sécurité nationale, le gouvernement américain a toujours considéré impensable que la mise en œuvre du contrôle et du recours effectif puisse, d’une manière ou d’une autre, entraver les activités de renseignement ou dévoiler des informations qui touchent à la sécurité nationale.

Depuis le décret présidentiel, les USA ont accepté de créer un mécanisme de recours à deux niveaux :

Premier niveau – CLPO :

Les citoyens de l’Union européenne pourront déposer une plainte auprès de l’Officier de protection des libertés civiles (« Civil Liberties Protection Officer ») chargé de contrôler la communauté du renseignement américaine et de veiller au respect de la vie privée et des droits fondamentaux par les agences de renseignement américaines.

Second niveau –DPRC :

Les individus auront la possibilité de faire appel de la décision du Civil Liberties Protection Officer devant la Data Protection Review Court (DPRC) nouvellement créée.

Les raisons de l’annulation probable

Une première critique adressée à la DRPC est le fait que ses membres sont nommés par le gouvernement et qu’elle est logée au sein du DOJ (Department of Justice), c’est-à-dire au sein du pouvoir exécutif et non au sein du pouvoir judiciaire régi par l’article III de la Constitution américaine.

Motif ? Aux USA, comme en France et en Belgique du reste, il faut avoir intérêt et qualité pour intenter une action en justice. Or, étant donné la jurisprudence américaine, il est presque impossible de démontrer un intérêt (préjudice réel, concret et précis) à l’égard des activités de renseignements qui sont par définition secrètes.

Pour pallier en partie cela, il est prévu que la DPRC sera, nonobstant son intégration au sein de l’exécutif, soumise aux arrêts de la Cour suprême des États-Unis de la même manière qu’un tribunal judiciaire.

La Commission européenne n’y voit pas un obstacle insurmontable au motif que dans la plupart des pays européens, les autorités de protection des données sont également logées au sein de l’exécutif.

C’est sans doute vrai, mais c’est oublier que les décisions des autorités de protection des données peuvent elles-mêmes faire l’objet d’un recours de pleine juridiction devant un juge. Or, la DPRC est elle-même l’autorité de recours et elle ne fait pas partie de l’ordre judiciaire …

La seconde critique est plus importante encore.

En effet, en cas de recours devant la DPRC, le plaignant n’est pas réellement associé à la procédure. D’une part, un avocat spécial est désigné pour représenter ses intérêts et informer la Cour sur les points de droit pertinents. D’autre part, si la DPRC considère que la réglementation américaine n’a pas été violée, elle transmet au plaignant une information signalant que l’examen n’a révélé aucune violation, mais sans motivation. Le plaignant ne reçoit donc pas une décision à la lecture de laquelle il peut comprendre les motifs pour lesquels sa plainte est déclarée non fondée.

Le plaignant doit donc en quelque sorte « faire confiance » à la DRPC, et c’est là que réside selon nous le point de faiblesse qui entrainera la chute de l’édifice.

Une troisième critique porte sur les traitements commerciaux : indépendamment des traitements liés à la sûreté de l’Etat, de nombreuses voix critiquent les principes énoncés dans la décision d’adéquation, qui ne seraient pas à la hauteur des garanties apportées dans l’Union par le RGPD. Là, ce n’est pas le gouvernement US qui pose problème mais les GAFA et autres grands consommateurs de données personnelles, qui ne veulent pas que leur modèle économique soit mis en péril par des exigences qui limitent leurs activités.

Le précédent belge

Si nous nous permettons d’être aussi pessimistes sur l’avenir de la décision d’adéquation, c’est parce qu’il y a actuellement devant la Cour de justice une affaire qui pose une question similaire dans laquelle l’avocat général s’est montré intraitable. L’arrêt n’est pas encore disponible, mais il sera rendu probablement à l’automne et l’on saura donc vraisemblablement à ce moment-là si, par identité de motifs, la décision d’adéquation sera annulée.

L’affaire soumise à la cour (C-333/22) porte sur une particularité belge : lorsqu’un citoyen exerce ses droits à l’égard des traitements liés à la police et la sûreté de l’État, il doit passer par l’intermédiaire d’un organe de contrôle spécifique qui procède à l’enquête et, si aucune violation n’est constatée, le citoyen est informé de l’absence de violation. L’organe de contrôle de l’information policière (OCIP) se borne à informer la personne concernée qu’« il a été procédé aux vérifications nécessaires » et que celles-ci n’ont « pas révélé » de violation.

La directive (UE) 2016/680 du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, permet certes cet exercice indirect des droits, mais moyennant un certain nombre de garanties.

Dans ses conclusions, l’avocate générale Laila Medina considère que, en vertu de la directive 2016/680, l’accès direct aux données à caractère personnel détenues par les autorités constitue la règle générale, tandis que l’accès indirect est l’exception.

L’avocat général considère que :

  • Lorsque la personne concernée exerce indirectement ses droits par l’intermédiaire d’une autorité de contrôle, elle doit disposer d’un recours juridictionnel contre cette autorité en ce qui concerne la mission incombant à celle-ci de vérifier la licéité du traitement.
  • Le niveau d’information que l’autorité de contrôle peut communiquer à la personne concernée quant à l’issue de la vérification ne saurait toujours se limiter à l’information minimale selon laquelle cette autorité a procédé à toutes les vérifications nécessaires, mais peut varier en fonction des circonstances de l’affaire, à la lumière du principe de proportionnalité.
  • Le droit belge transposant la directive 2016/680 établit un régime dérogeant au principe de l’exercice direct des droits des personnes concernées à l’égard de l’ensemble des données traitées par les services de police. En effet, compte tenu de la portée extrêmement large des données auxquelles s’applique le régime dérogatoire, ce régime établit une exception générale au droit d’accès direct. Un tel régime est incompatible avec la directive.
  • Dès lors que l’autorité de contrôle considère qu’elle ne saurait faire plus que communiquer les informations minimales, à savoir déclarer qu’elle a procédé à toutes les vérifications nécessaires, l’exercice du contrôle juridictionnel est impossible à moins que la juridiction chargée d’apprécier la décision de cette autorité ne soit en mesure d’examiner tous les motifs sur lesquels cette décision est fondée, ainsi que la décision du responsable du traitement de limiter l’accès. Dans un tel cas, les informations pertinentes doivent être mises à la disposition de cette juridiction.

L’avocate générale conclut dès lors que l’article 17 de la directive 2016/680, qui régit l’exercice indirect des droits par l’intermédiaire de l’autorité de contrôle, est compatible avec les droits fondamentaux à la protection des données personnelles et à un recours effectif, tels que prévus par la charte des droits fondamentaux, dès lors :

  1. que l’autorité de contrôle peut, selon les circonstances, ne pas se borner à informer la personne concernée qu’elle a procédé à toutes les vérifications nécessaires, et
  2. que cette personne dispose de la possibilité de soumettre à un contrôle juridictionnel l’action et l’appréciation effectuées par l’autorité de contrôle à son sujet au regard des obligations qui pèsent sur le responsable du traitement.

Le parallèle avec la question posée par la DPRC saute aux yeux. Si la Cour de justice invalide le système belge, il est hautement improbable qu’elle puisse valider la décision d’adéquation puisque le système américain est plus secret encore.

Réponse dans quelques semaines …

Source : Droit & Technologies

Mots clés

Articles recommandés

Le tribunal du Hainaut bouleverse la doctrine Antigone

Traitement des données pour intérêt légitime, quand et comment ? l’EDPB publie ses lignes directrices.

Dirigeants en télétravail : évitez les pièges cachés !