{"id":1367,"date":"2022-10-27T11:43:48","date_gmt":"2022-10-27T09:43:48","guid":{"rendered":"https:\/\/fajgenbaum.paris\/?p=1367"},"modified":"2022-10-27T11:43:48","modified_gmt":"2022-10-27T09:43:48","slug":"transferts-de-donnees-personnelles-vers-les-etats-unis-episode-3-suite-et-pas-fin","status":"publish","type":"post","link":"https:\/\/fajgenbaum.paris\/en\/transferts-de-donnees-personnelles-vers-les-etats-unis-episode-3-suite-et-pas-fin\/","title":{"rendered":"Transferts de donn\u00e9es personnelles vers les \u00c9tats-Unis : \u00e9pisode 3, suite et pas fin\u2026"},"content":{"rendered":"

Les transferts UE-EU.<\/strong> Depuis l\u2019adoption du RGPD, la question des transferts de donn\u00e9es \u00e0 caract\u00e8re personnel de l\u2019Union europ\u00e9enne vers les \u00c9tats-Unis tient en haleine. Il faut dire que le feuilleton est \u00e0 rebondissements et que les enjeux \u00e9conomiques et politiques sont \u00e9normes tant ces transferts sont nombreux du fait de la nationalit\u00e9 des g\u00e9ants du num\u00e9rique comme de la localisation des serveurs de stockage.<\/p>\n

Si les responsables de traitement peuvent transf\u00e9rer pareilles donn\u00e9es hors de l\u2019UE, c\u2019est \u00e0 la condition d\u2019assurer un niveau de protection des donn\u00e9es suffisant et appropri\u00e9. Diff\u00e9rents outils juridiques, d\u00e9crits au chapitre V du RGPD, permettent d\u2019atteindre cet objectif. En l\u2019absence de d\u00e9cision d\u2019ad\u00e9quation par la Commission europ\u00e9enne pour les \u00c9tats-Unis, la voie de l\u2019accord bilat\u00e9ral a \u00e9t\u00e9 pr\u00e9f\u00e9r\u00e9e aux autres m\u00e9canismes (\u00e0 savoir les clauses contractuelles types ou CCT et les binding corporate rules<\/em> ou BCR), pour \u00eatre par deux fois mise en \u00e9chec. En effet, les deux accords, le Safe Harbor<\/em> puis le Privacy Shield<\/em>, ont \u00e9t\u00e9 invalid\u00e9s par la CJUE.<\/p>\n

 <\/p>\n

Les d\u00e9cisions d\u2019invalidation.<\/strong> \u00c0 la suite des r\u00e9v\u00e9lations d\u2019Edward Snowden sur les pratiques de surveillance des autorit\u00e9s am\u00e9ricaines, le Safe Harbor<\/em> est invalid\u00e9 par la CJUE dans l\u2019arr\u00eat dit \u00ab\u00a0Schrems I\u00a0\u00bb (CJUE, 6 octobre 2015, aff. C-362\/14, Maximillian Schrems c\/ Data Protection Commissioner). L\u2019accord consacrait une auto-certification des entreprises am\u00e9ricaines aupr\u00e8s de la chambre de commerce am\u00e9ricaine. Le Privacy Shield<\/em> reprenait le m\u00eame principe tout en limitant la surveillance avec la directive pr\u00e9sidentielle 28 (Presidential Policy Directive<\/em> 28, PPD-28, Signals Intelligence activities<\/em>) et en instituant un m\u00e9diateur ind\u00e9pendant de l\u2019administration am\u00e9ricaine, dit \u00ab\u00a0Ombudsperson<\/em>\u00a0\u00bb, charg\u00e9 de traiter les plaintes li\u00e9es. Mais l\u2019avocat autrichien \u00e0 l\u2019origine de la premi\u00e8re d\u00e9cision d\u00e9pose une nouvelle plainte et obtient l\u2019invalidation du Privacy Shield<\/em> par la CJUE, dans un arr\u00eat dit \u00ab\u00a0Schrems II\u00a0\u00bb (CJUE, 16 juill. 2020, aff. C-311\/18, Data Protection Commissioner c\/ Facebook Ireland Ltd et Maximillian Schrems). La Cour consid\u00e8re que plusieurs programmes am\u00e9ricains de surveillance permettent \u00e0 des agences de renseignement de traiter massivement des donn\u00e9es personnelles sans garanties suffisantes et sans supervision. En outre, l\u2019absence de droits effectifs au b\u00e9n\u00e9fice des personnes \u00ab\u00a0non am\u00e9ricaines\u00a0\u00bb contrevient directement aux exigences d\u2019ad\u00e9quation du RGPD. Par ailleurs, la CJUE ajoute que la pr\u00e9sence de CCT ne pr\u00e9sume pas de l\u2019\u00e9quivalence du niveau de protection \u00e0 celui garanti au sein de l\u2019Union europ\u00e9enne. D\u00e8s lors, dans le cas des \u00c9tats-Unis, des \u00ab\u00a0mesures suppl\u00e9mentaires\u00a0\u00bb sont n\u00e9cessaires, sans que cela n\u2019affecte, de mani\u00e8re g\u00e9n\u00e9rale, la validit\u00e9 des CCT.<\/p>\n

 <\/p>\n

L\u2019incertitude li\u00e9e.<\/strong> S\u2019est ouverte alors une p\u00e9riode d\u2019incertitude juridique probl\u00e9matique en consid\u00e9ration de la masse des transferts. En effet, les transferts de donn\u00e9es personnelles vers les \u00c9tats-Unis ne pouvaient donc plus \u00eatre fond\u00e9s sur un accord g\u00e9n\u00e9ral valant ad\u00e9quation, le Privacy Shield<\/em>, ni sur des CCT ou des BCR, dans la mesure o\u00f9 le responsable de traitement pouvait tomber sous le coup des lois de surveillance litigieuses. Certes, et comme le rappelle la Cour dans l\u2019arr\u00eat \u00ab\u00a0Schrems II\u00a0\u00bb, restent les modalit\u00e9s d\u00e9rogatoires de l\u2019article 49 du RGPD. Mais il s\u2019agit bien l\u00e0 d\u2019exceptions \u00e0 la r\u00e8gle, qui ne sauraient devenir le principe, pour des transferts \u00ab\u00a0occasionnels\u00a0\u00bb ou \u00ab\u00a0non r\u00e9p\u00e9titifs\u00a0\u00bb. En outre, ces cas d\u00e9rogatoires ne dispensent pas, dans le pays destinataire, d\u2019un niveau ad\u00e9quat de protection des donn\u00e9es et de la mise en place de garanties appropri\u00e9es, comme l\u2019a exprim\u00e9 le CEPD dans ses lignes directrices sur l\u2019article 49 (Lignes directrices 2\/2018 relatives aux d\u00e9rogations pr\u00e9vues \u00e0 l\u2019article 49 du r\u00e8glement (UE) 2016\/679, 25 mai 2018).<\/p>\n

 <\/p>\n

La nouvelle tentative.<\/strong> Pour autant, on ne saurait nier que l\u2019enjeu \u00e9conomique est colossal\u2026 Les transferts de donn\u00e9es transatlantiques seraient essentiels dans la relation \u00e9conomique UE-EU, laquelle repr\u00e9senterait 7,1 billions de dollars\u00a0! Aussi, le pr\u00e9sident Biden et la pr\u00e9sidente de la Commission europ\u00e9enne von der Leyen ont annonc\u00e9 en mars 2022 la signature prochaine d\u2019un nouvel accord (FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework – The White House<\/a>).<\/p>\n

Le 7 octobre 2022, le pr\u00e9sident am\u00e9ricain a sign\u00e9 un Executive Order<\/em> visant \u00e0 modifier la l\u00e9gislation am\u00e9ricaine et \u00e0 introduire de nouvelles garanties pour encadrer les renseignements par voie \u00ab\u00a0\u00e9lectromagn\u00e9tique\u00a0\u00bb\u00a0; ces garanties sont compl\u00e9t\u00e9es de m\u00e9canismes juridictionnels d\u00e9di\u00e9s aux litiges li\u00e9s aux donn\u00e9es collect\u00e9es lors des activit\u00e9s de renseignement, dont pourront b\u00e9n\u00e9ficier les personnes concern\u00e9es, sans consid\u00e9ration de leur nationalit\u00e9.<\/p>\n

Reste \u00e0 savoir si ce futur accord prendra bien en compte les recommandations de la CJUE. Nul doute en revanche qu\u2019il fera l\u2019objet d\u2019un recours, Maximillian Schrems et son ONG NOYB (My privacy is none your business<\/em>) affirmant d\u00e9j\u00e0 que \u00ab\u00a0rien n\u2019indique que la surveillance de masse am\u00e9ricaine changera dans la pratique. La “surveillance de masse” se poursuivra dans le cadre du nouveau d\u00e9cret (voir section 2 (c)(ii)) et toutes les donn\u00e9es envoy\u00e9es aux fournisseurs am\u00e9ricains finiront toujours dans des programmes comme PRISM ou Upstream, bien que la CJUE ait d\u00e9clar\u00e9 \u00e0 deux reprises que les lois et pratiques de surveillance am\u00e9ricaines n’\u00e9taient pas “proportionn\u00e9es” (au sens europ\u00e9en du terme)\u00a0\u00bb. Il est \u00e9galement relev\u00e9 que la \u00ab\u00a0Cour de r\u00e9vision de la protection des donn\u00e9es\u00a0\u00bb (Data Protection Review Court<\/em>) n\u2019est pas un vrai tribunal, mais une simple \u00ab\u00a0version am\u00e9lior\u00e9e du pr\u00e9c\u00e9dent syst\u00e8me de “m\u00e9diateur”\u00a0\u00bb, invalid\u00e9 par la CJUE (https:\/\/noyb.eu\/fr\/le-nouveau-decret-americain-peu-de-chances-de-satisfaire-la-legislation-europeenne<\/a>).<\/p>\n

 <\/p>\n

\u00c0 suivre\u2026<\/strong> La saga se poursuit. Transferts de donn\u00e9es personnelles UE-EU, \u00e9pisode 3. En route vers une d\u00e9cision \u00ab\u00a0Schrems III\u00a0\u00bb, donc.<\/p>\n","protected":false},"excerpt":{"rendered":"

Les transferts UE-EU. Depuis l\u2019adoption du RGPD, la question des transferts de donn\u00e9es \u00e0 caract\u00e8re personnel de l\u2019Union europ\u00e9enne vers les \u00c9tats-Unis tient en haleine. Il faut dire que le feuilleton est \u00e0 rebondissements et que les enjeux \u00e9conomiques et politiques sont \u00e9normes tant ces transferts sont nombreux du fait de la nationalit\u00e9 des g\u00e9ants […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pdf":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1367","post","type-post","status-publish","format-standard","hentry","category-actualites"],"acf":[],"_links":{"self":[{"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/posts\/1367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/comments?post=1367"}],"version-history":[{"count":1,"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/posts\/1367\/revisions"}],"predecessor-version":[{"id":1368,"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/posts\/1367\/revisions\/1368"}],"wp:attachment":[{"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/media?parent=1367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/categories?post=1367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fajgenbaum.paris\/en\/wp-json\/wp\/v2\/tags?post=1367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}