Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis.
Cette décision, permet de mettre fin à une épopée judiciaire qui avait débuté en 2016 avec le premier arrêt Schrems 1 et qui avait abouti à l’invalidation de tous les outils de transferts de données vers les Etats Unis (et d’autres pays aux législations équivalentes) sans l’ajout de mesure particulières supplémentaires, qui en pratique, se limitait essentiellement aux chiffrement de toutes les données qui ne devaient être accessibles à personne aux Etats Unis.
Ainsi, les transferts de données étaient de fait, quasiment tous interdits et plusieurs décisions notamment à l’encontre de Facebook ou encore visant l’usage de Google analytics avait entériné cette position des autorités de protection des données.
Historique et contexte
Depuis l’arrêt Schrems 2, il n’était plus possible, sans apporter des garanties complémentaires, de transférer des données aux Etats-Unis ou même dans des pays présentant des risques similaires notamment, lorsque des législations similaires en termes de sécurité intérieures s’appliquaient.
La problématique soulevait par la CJUE était que la législation sur la sécurité intérieure des Etats-Unis n’apportaient aucune garantie de protections des données personnelles aux étrangers. En effet, la législation américaine permettait aux autorités américianes d’accéder de manière disproportionnée voire sans restrictions à toutes les données d’étrangers transférées aux Etats-Unis.
En conséquence, et en vertu de cette décision, si un responsable de traitement souhaitait transférer les données aux Etats-Unis, il devait non seulement mettre en place les outils habituels (BCR, clauses contractuelles types etc. ) mais également mettre en place des mesures complémentaires permettant d’assurer que les autorités n’accèderont pas de manière disproportionnée à ces données.
En pratique, la solution officiellement accepté par les autorités dans le cas des transferts aux Etats-Unis, était le chiffrement des données sous réserve que la clés de chiffrement demeurait dans l’UE et n’était pas transférée aux Etats-Unis.
Cela limitait donc très fortement la possibiltié de transférer les données dans la mesure où le destinataires a souvent besoin d’utiliser et donc de voir le contenu des données. Ainsi, elle a sanctionné l’usage de Google Analytics ou les transferts de données mis en place par Facebook.
Il est important de rappeler que cette exigence s’applique toujours à tout pays présentant des risques au sens de l’arrêt Schrems 2, notamment lorsque la législation permet un accès illimité ou disproportionné aux données par les autorités gouvernementales.
Sur la base de ce jugement, il est donc également nécessaire de réaliser une étude des risques potentiels et donc de la législation du pays avant l’envoi des données et envisager des mesures adaptées en fonction des risques identifiés pour chaque pays concernée.
Dans la mesure où la commission s’était trompée à deux reprises sur un pays comme les Etats-Unis, cette analyse est d’autant plus difficile pour des pays tiers aux législations plus obscures. Toutefois, on pouvait déduire, sans trop de difficultés que les transferts vers des pays considérés comme à tendance autoritaire (Russie, Chine etc.) nécessitent toujours des mesures complémentaires en cas de transferts.
La décision d’adéquation de la Commission Européenne et ces conséquences pratiques
En ce qui concerne les Etats-Unis et après de longues tractations et négociations avec la Commission Européenne, les Etats-Unis ont modifié leur législation afin d’apporter des garanties supplémentaires aux citoyens européens.
Ces modifications ont été considérées suffisantes par la Commission qui a donc publié une décision d’adéquation permettant les transferts aux Etats-Unis.
Contrairement à une décision d’adéquation habituelle permettant de transférer les données sans avoir recours à un mécanisme de transfert, cette décision n’entérine que l’existence des garanties complémentaires requises par la CJUE.
Ainsi, les société américianes doivent désormais adhérer à un « Data Privacy Framework » comme c’était le cas avec le Privacy Shield. A défaut, il sera nécessaire de faire usage des mécanismes habituels pour recevoir les données depuis l’UE.
En pratique, avant de mettre en place un transfert de données vers les Etats-Unis, il est donc nécessaire de vérifier si la société a adhéré au Data Privacy Framework sur ce site.
Si elle n’apparaît pas, il convient alors de signer les clauses contractuelles types ou d’encadrer le transferts avec des BCR si la société les a mis en place ou pour des transferts intragroupe.
Validité de la solution
Des critiques ont soulevé le fait que la modification de la législation américaine n’était pas suffisante pour assurer le niveau de protection adéquat notamment du fait que l’autorité en charge de traiter les éventuels recours des personnes concernées etc. ne serait pas considérée comme une juridiction d’un point de vue juridique.
Il faut donc s’attendre à une nouvelle saga Schrems 3 mais pour le moment, les tranferts sont autorisés, y compris pour Google Analytics, Google LLC ayant adhéré au data privacy framework.
Pour plus d’informations ou toute aide concernant vos transferts de données en dehors de l’UE, n’hésitez pas à contacter Arnaud BLANC, Avocat
Cette publication est également disponible en en_GB.