Nouvelle étape pour la décision d’adéquation UE-EU ?
Dans nos articles précédents, nous faisions le point sur le niveau de protection des données dans le monde ainsi que sur un potentiel projet de Privacy Shield 2.0. Il semblerait qu’il y ait du nouveau sur le sujet.
Si comme nous, vous avez suivi l’actualité, vous savez déjà que le président des États-Unis actuel, Joe Biden, a adopté le 7 octobre 2022 un nouveau cadre juridique (Executive Order) pour renforcer les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignement américains. Cet effort américain faisait échos à l’invalidation du Privacy Shield, dernière décision d’adéquation en date pour les Etats-Unis… Le nouveau cadre juridique a ensuite été transmis à la Commission européenne pour qu’elle puisse évaluer le niveau de protection des données des européens.
Petit rappel RGPD : parmi les missions de la Commission européenne, se trouve celle d’évaluation du niveau d’adéquation des Etats tiers. Cette évaluation permet, le cas échéant, d’aboutir sur une décision d’adéquation, adoptée sur la base de l’article 45 du RGPD. Ce sont ces décisions d’adéquation qui permettent de transférer des données vers des Etats tiers sans avoir besoin d’utiliser des garanties spécifiques (comme les clauses contractuelles types de la Commission européenne par exemple).
Le Comité européen de la protection des données (CEPD) est également amené à rendre un avis à la Commission européenne sur le sujet. Cela fait partie de ses missions, telles qu’elles sont listées à l’article 70 du RGPD.
Aujourd’hui, nous en sommes là. Le CEPD a clos le mois de février en rendant un avis sur le projet de décision d’adéquation des Etats-Unis. Voyons voir ce qu’il nous dit*.
Le CEPD accueille ce projet et les améliorations qu’il propose, en comparaison aux précédentes décisions d’adéquation, mais émet tout de même quelques réserves et fait connaître certaines de ses inquiétudes :
Comme les décisions précédentes, la décision d’adéquation sera une décision d’adéquation partielle. C’est-à-dire qu’elle viendra « couvrir » un secteur d’activités et non pas l’ensemble du territoire américain.
Sur ce point le CEPD relève que la décision d’adéquation prévoit un système d’adhésion des organismes voulant bénéficier de la couverture de la décision. Cependant, il note que la structure du projet, notamment la lisibilité et la bonne compréhension de ses annexes, méritent d’être retravaillées. En effet, selon le CEPD, il est difficile de comprendre quelles entreprises ne pourront PAS adhérer. De notre côté, on se demande donc si l’adhésion serait dès lors trop facile et permettrait à n’importe quel organisme d’être couvert par la décision…
Un notre bémol noté par le CEPD est l’absence de précision sur certains termes utilisés dans le projet d’accord, et de fait, sur les différentes interprétations possibles.
Le CEPD fait également le point sur le respect des droits des personnes concernées.
Si le projet prend bien en compte leur existence, et leur effectivité, il semblerait que des défauts anciens refont surface : le droit d’accès se verrait bloqué dans certains cas, et le droit d’opposition traité de manière différente (délai plus long, modalités d’applications changées). Aussi, le Comité souligne que la protection des personnes ne doit pas s’arrêter après le premier transfert de l’UE aux EU, mais devrait bien continuer pour tout transfert ultérieur.
Concernant l’accès aux données par les pouvoirs américains, le Comité semble accueillir les évolutions proposées par le projet, mais là encore, émet quelques inquiétudes.
Tout d’abord, le Comité apprécie les efforts fournis pour clarifier le sujet en identifiant différents acteurs américains pouvant accéder aux données issues de transferts hors UE, ainsi que les différents fondements justifiant ce droit d’accès. Ici, on peut faire le comparatif avec le droit d’accès des tiers autorisés, comme il est exposé dans le RGPD. Cependant, les listes ne sont pas suffisamment exhaustives : cela laisse planer le doute sur qui peut réellement accéder aux données ?
A la différence des tiers autorisés, le projet de décision met en avant que ces « tiers » pourraient obtenir un accès aux données dès lors qu’ils démontrent l’existence d’un intérêt légitime. Notion dangereuse et on le sait ! L’intérêt légitime d’un organisme lui est propre et son appréciation reste subjective. Même si le process d’acquisition est ici décrit de manière compréhensible selon le Comité, des précisions semblent toujours nécessaires.
Le Comité européen souhaite également voir les droits de recours des personnes concernées renforcées.
Vous le savez probablement, le RGPD prévoit un droit de recours et un droit à réparation pour tout individu qui estimerait que ses droits RGPD ne sont pas respectés et / ou qui aurait subi un dommage du fait d’une violation du RGPD. Le projet de décision inclut bien ces fameux droits de recours, mais pour le CEPD, cela reste insuffisant, notamment dans les cas où les données auraient été récupérées de manière déloyale, voire illicite, par les pouvoirs américains. De fait, le Comité souhaiterait à nouveau des clarifications sur les voies de recours qui existeront et qui permettront aux personnes concernées de se défendre.
L’avis du CEPD continue ainsi, décortiquant point par point le projet de décision d’adéquation. Ce qui en ressort le plus, c’est la volonté américaine de s’aligner au mieux avec les exigences du RGPD, mais sans pour autant perdre la main sur ce qui se fait déjà aux Etats-Unis. Le projet de décision est donc à la fois prometteur, mais également complexe (peut-être volontairement ?), ce qui amène le Comité à réclamer, à plusieurs reprises, des clarifications.
De notre côté, on reste très curieux de voir ce que tout cela va donner. On ne doute pas de l’adoption de la future décision d’adéquation UE-EU, mais on craint toujours pour sa survie dans le temps… Qui dit Privacy Shield 2.0 peut toujours dire Jurisprudence Schrems épisode 3 ! D’ici là, on va continuer de suivre l’actualité avidement, et on vous dit à bientôt pour un prochain article 😉
*Les points saillants de l’avis ont été traduits du document d’origine en Anglais