Transfert de données : les Etats-Unis signent un décret pour se conformer au droit de l’UE

Le président américain a publié ce 7 octobre 2022 un décret¹dont l’objectif est de lever les restrictions de flux de données personnelles entre l’UE et les Etats-Unis. C’est au lendemain de l’anniversaire de l’arrêt Schrems, rendu le 6 octobre 2015 par la CJUE, que cet acte intervient. Depuis cet arrêt, les échanges de données sont, en principe, devenus illégaux vers les Etats-Unis, sauf encadrement – notamment contractuel. Le Privacy Shield qui visait à pallier ce problème n’aura ainsi été qu’une solution de courte durée.

Garanties adoptées visant à limiter les risques des transferts UE-US

Par ce décret, les Etats-Unis s’engagent à adopter des mesures visant à compenser leurs lacunes juridiques, susceptibles de porter atteinte aux droits des personnes situées dans l’UE, en cas de transfert de leurs données. Les Etats-Unis annoncent ainsi la prochaine mise en œuvre des garanties suivantes :

• Encadrement des mesures de surveillance électronique existantes : elles devront être restreintes à un objectif de sécurité nationale, pondérées avec les droits et libertés des individus, être seulement utilisées en cas de nécessité et être proportionnées.
• Gestion diffuse des données personnelles : les services de renseignement U.S devront adopter des procédures et politiques visant à faire respecter ledit décret.
• Contrôle et indemnisation des personnes renforcés :
• Un Civil Liberties Protection Officer (CLPO) désigné auprès de la Direction des renseignements U.S recueillera les plaintes de violation du décret. Ses décisions lieront l’ensemble des services de renseignement.
• Une Data Protection Review Court (DPRC) sera instituée, afin de statuer sur la validé des décisions du CLPO. Les juges devront être indépendants du gouvernement américain, avoir des compétences en matière de données personnelles et seront irrévocables.
• L’existant Privacy and Civil Liberties Oversight Board (PCLOB) sera chargé de vérifier l’adéquation des procédures et politiques à venir, adoptées par les services de renseignement U.S.

Clauses types et TIA toujours requis

Ce décret marque une étape importante vers une plus grande libéralisation des flux de données UE-US. Un tel texte ne garantit pas encore des transferts libres vers les Etats-Unis. Pour cela, une décision d’adéquation devra être adoptée par la Commission européenne. Les organismes doivent ainsi continuer à mettre en œuvre les clauses contractuelles types (CCT) et conduire une analyse des lois (Transfer Impact Assessment - TIA). Les TIA existants devront d’ailleurs être ajustés, puisqu’avec ces nouvelles mesures, les Etats-Unis tirent les conséquences des lacunes mises en lumière par l’UE ayant conduit à une restriction des flux de données personnelles.

Développements attendus 

Le CEPD/EDPB avait déjà annoncé qu’une analyse détaillée du décret sera publiée, afin de jauger du niveau d’adéquation. Outre-Atlantique, le département de la Justice américain a pris acte de la création d’une juridiction dédiée (la DPRC) et des moyens à mettre en œuvre. 

Ce texte parait mieux encadrer les mesures d'accès et la question du recours/indemnisation des personnes concernées, par rapport aux deux précédents, le Safe Harbor et le Privacy Shield. Ces derniers ont subi une invalidation parce qu'ils n'ont pas engendré de modification substantielle du droit américain.

Il revient désormais à la Commission européenne, et sans doute dans un futur proche à la CJUE, de juger de l’adéquation des nouvelles mesures, et de décider ainsi d’une autorisation des transferts libres aux Etats-Unis.

¹ Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, The White House, 7 octobre 2022 (Data Privacy Framework)