La protection des données transférées vers les Etats-Unis : pouvons-nous y croire ?

Au vu des actualités récentes, il nous parait opportun de faire un rappel de la situation. En vertu de l’article 45 du Règlement Général sur la Protection des Données (RGPD), les transferts de données hors de l’Espace économique européen (EEE) sont interdits, sauf à démontrer que l’on se trouve dans une situation bien précise prévue par ledit article. Les deux exceptions les plus fréquemment utilisées par les entreprises pour justifier les transferts des données hors de l’UE et de l’EEE sont (1) un niveau de protection adéquat prévu par le pays de destination et (2) l’application des clauses contractuelles types (CCT) entre les entreprises se transférant des données qui sortent de l’Espace économique européen. Dans le premier cas, le pays de destination doit avoir une législation reconnue par le Commission européenne comme offrant un niveau de protection des données équivalent à celui appliqué dans l’Union européenne. Dans le second cas, les CTT signées entre les deux entités doivent être basées sur les modèles approuvés par la Commission européenne.

Concernant les transferts vers les Etats-Unis, et depuis l’invalidation par la Cour de justice de l’Union européenne (CJUE) du Privacy Shield en 2020, les entreprises ne peuvent plus se fonder sur un niveau de protection adéquat pour justifier les transferts. En effet, la CJUE a estimé que l’accès aux données accordé aux renseignements américains, au motif de surveillance, était trop large. Quant aux CCT, encore faut-il que l’organisme destinataire se conforme aux modèles européens. Cela n’est pas si évident à mettre en place étant donné les exigences prévues par ces modèles, parfois inconciliables avec la vision américaine de la protection des données.

Pour combler ce vide juridique, et vu les enjeux cruciaux pour l’économie numérique, la Commission européenne a récemment adopté un nouveau texte. Des garde-fous supplémentaires ont été mis en place pour encadrer l’accès des données aux agences de renseignement américaines. Désormais l’accès, en plus de devoir être justifié au nom de la sécurité nationale, doit être limité à ce qui est « proportionné » et « nécessaire » afin de se conformer aux prescrits de l’article 45.3 du RGPD, permettant le transfert des données à caractère personnel vers un pays tiers. Si l’intention est louable, il faut toutefois reconnaître que ces termes, pourtant illustres du RGPD, laissent encore une très grande place à l’interprétation.

Une nouveauté de l’accord consiste en l’octroi d’une possibilité de recours aux ressortissants européens s’ils considèrent que leurs données personnelles ont été collectées illégalement par les autorités américaines. Ce droit de recours est assorti d’un droit à la correction ou à la suppression de ces données, également prévu par le RGPD. En comparaison avec le néant existant auparavant à cet égard, l’avancée peut être saluée. Cette nouvelle mouture du texte a le mérite de vouloir, sur papier du moins, accorder aux citoyens européens les mêmes droits qu’aux citoyens américains. Auparavant, et même lors de la mise en place du Privacy Shield, lorsqu’une entreprise américaine traitait de façon inapproprié des données de citoyens européens, aucun recours n’était possible.

Il nous paraît toutefois ne pas devoir nous réjouir trop vite de cette avancée. Quel droit s’appliquera selon vous ? Le droit américain évidemment. Dans la pratique, un ressortissant européen va-t-il vraiment aller jusque devant un tribunal américain pour faire valoir ses droits ? A cet égard, ce droit nous parait donc utopique. De plus, en droit américain comme en droit belge, il faut un intérêt pour intenter une action judiciaire. Démontrer cet intérêt devant une juridiction peu encline à la protection des données peut s’avérer être un véritable parcours du combattant. Offrir des droits de recours c’est bien, mais pouvoir les faire exécuter, c’est mieux. Il nous semble que cette mondialisation de la justice américaine ne soit pas véritablement protectrice des droits des citoyens à l’international.

Par ailleurs, les entreprises qui envoient des données aux Etats-Unis sont logées à la même enseigne. Comment les entreprises, qui, en tant que sous-traitant sont garantes du choix de leurs prestataires et de la sécurité qui en découle, vont-elles pouvoir aller réaliser leurs audits de sécurité outre Atlantique ? Comment une entreprise peut-elle véritablement permettre à l’un de ses clients dont les données auraient été compromises de faire valoir ses droits devant une juridiction américaine, sachant qu’il n’existe aucune disposition fédérale de protection des données ?

Nous pouvons également nous interroger quant à la relation du nouvel accord-cadre avec le Cloud Act. Ce texte, en vigueur depuis 2018 et instauré sous le régime de Donald Trump permet aux autorités américaines l’accès à toutes les données stockées par des sociétés américaines, peu importe leur localisation. Cela vaut donc, à fortiori, pour toutes les données stockées par des sociétés américaines sur le territoire européen. Le nouvel accord-cadre va-t-il supplanter le Cloud Act ? Ces deux textes vont-ils s’appliquer indépendamment ? Il reste encore des zones d’ombres. Par ailleurs, comment, même avec ce nouvel accord, avoir la certitude que nos données ne soient pas absorbées par une entreprise américaine qui n’échappe pas à la surveillance, malgré les garde-fous mis en place ?

Il est indéniable que le nouvel accord adopté par la Commission est accueilli comme une bonne nouvelle pour de nombreuses entreprises qui, peu importe leur taille, transfèrent chaque jour des données vers les Etats-Unis. Toutefois, cela reste, à notre sens, un premier compromis qu’il va falloir faire évoluer. Max Schrems, le militant autrichien à la base des précédents recours et arrêts Schrems I et Schrems II, a par ailleurs déjà annoncé un recours contre ce nouveau cadre juridique. Nous pouvons donc nous attendre à ce que l’affaire soit à nouveau portée devant la Cour de justice de l’Union européenne d’ici le début de l’année prochaine. En attendant, et dans ces circonstances, nous vous conseillons vivement de laisser vos données au sein de l’Union européenne, sous le contrôle d’un acteur européen.