Depuis l’arrêt « Schrems II » rendu en juillet 2020, le transfert de données personnelles entre l’Union européenne et les Etats-Unis était dans une impasse. Le 25 mars 2022, la Commission européenne et les Etats-Unis ont annoncé avoir convenu d’un accord de principe sur un nouveau cadre légal pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis. Une potentielle issue semble donc se dégager pour les entreprises confrontées à ce « casse-tête » juridique.

 

Schrems II : invalidation du Privacy Shield

Retour en juillet 2020 : la CJUE invalide, dans son arrêt Schrems II, le Privacy Shield qui encadrait jusqu’alors les transferts de données personnelles entre l’Union européenne et les Etats-Unis. Elle juge que les instruments de transfert listés à l’article 46 du Règlement européen sur la protection des données (RGPD) sont, à eux seuls, insuffisants pour encadrer les transferts.

En effet, en application de l’article 46 du RGPD, les transferts de données personnelles ne peuvent être réalisés que si une décision d’adéquation a reconnu que le pays tiers assurait un niveau de protection adéquat. A défaut de décision d’adéquation, les flux sont encadrés par des garanties appropriées telles que les règles d’entreprises contraignantes (BCR), les clauses contractuelles types (CCT), le code de conduite, etc.

Dès lors, les entreprises souhaitant transférer des données personnelles vers les Etats-Unis, doivent, en plus de mettre en œuvre des garanties appropriées, démontrer l’adoption de mesures contractuelles, techniques et organisationnelles supplémentaires.

Or, à ce jour, aucune mesure complémentaire n’a été considérée suffisante, du fait de la surveillance opérée par les services de renseignement américains, ce qui complexifie considérablement les flux de données transfrontaliers.

 

Nouvel accord de principe pour le transfert des données personnelles

Le 25 mars 2022, la Commission européenne et les Etats-Unis ont annoncé avoir convenu d’un accord de principe sur « un nouveau cadre transatlantique de protection des données personnelles », notamment le transfert des données personnelles de l’Union européenne vers les Etats-Unis.

Il ne s’agit pour l’instant que d’un accord de principe mais dont certains éléments clés ont été communiqués par la Commission européenne, à savoir :

  • La mise en œuvre de nouvelles règles et garanties afin de s’assurer que les activités de surveillance sont nécessaires et proportionnées à la poursuite d’objectifs de sécurité nationale, comme l’impose le RGPD ;
  • La création d’un mécanisme de recours indépendant à deux niveaux, pour recevoir les plaintes des européens relatives à l’accès à leurs données par les services de renseignements américains, et d’un tribunal dédié ;
  • L’instauration d’obligations pour les entreprises traitant des données personnelles transférées depuis l’Union européenne, et notamment l’obligation de certifier leur adhésion aux principes énoncés ; et
  • La mise en place de procédures pour assurer une surveillance efficace des nouvelles normes ainsi que de nouveaux mécanismes de révision.

Cet accord de principe devrait permettre d’aboutir à une nouvelle décision d’adéquation qui permettra de rendre sûrs et sécurisés les flux de données, et cela de manière pérenne.

A noter : le Comité européen de la protection des données (« CEPD ») s’est montré prudent dans sa déclaration du 6 avril 2022, puisqu’il prévient que ce texte devra se traduire par des propositions juridiques concrètes et répondre aux exigences européennes afin d’être validé. La Commission européenne doit en effet solliciter l’avis du CEPD avant d’adopter une potentielle nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données.

Reste donc à savoir si les propositions juridiques formulées sauront convaincre le CEPD, ce qui permettrait d’aboutir à l’adoption d’une nouvelle décision d’adéquation.

 

Conseil RSM : Cet accord de principe ne constitue pas une base juridique légale tant qu’un accord formel n’a pas été entériné et n’est pas entré en vigueur.

RSM recommande à ses clients de vérifier que l’hébergement des données est bien effectué au sein de l’UE, sans possibilité de transfert vers les Etats-Unis et, le cas échéant, d’encadrer tout hébergement/transfert de données vers les Etats-Unis en appliquant les mesures et garanties renforcées adéquates pour la protection des données personnelles.

Auteur

Transfert de données personnelles UE / US : vers une issue ?
Elisabeth de Carvalho
Juriste en droit des affaires et des sociétés

A lire également