Posted by Accord de principe entre Commission Européenne et EU sur le transfert des données personnelles des européens vers les EU
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
Le 25 mars 2022, la Commission européenne a annoncé un accord de principe sur le nouveau cadre transaltantique de Protection des données à caractère personnel (Trans-Altantic Data Privacy Framework) visant à faciliter les flux de données entre UE et EU, en conformité avec les exigences de l’arrêt de la CJUE du 20 juillet 2020, Schrems II ((CJUE, 16 juill. 2020, aff. C-311/18 di « Schrems II »), invalidant la décision d’adéquation de la Commission (décision 2016/1250) (Privacy Shield).
Pour rappel, le Privacy Shield . prévoyait des limitations aux principes de protection des données personnelles en vertu « d’exigences relatives à la sécurité nationale », organisée notamment par :
- l’article 702 du « Foreign Intelligence Surveillance Amendment Act (FISA) » autorisant les organismes de surveillance comme le FBI ou la CIA « l’exploitation de données des ressortissants non américains, même situés hors du territoire des Etats-Unis, dès lors que lesdites données sont détenues par des personnes morales américaines ».
- l’« Executive Order 12333 » (ou « E.O. 12333 ») permettant « l’acquisition d’une communication non publique par des moyens électroniques sans le consentement d’une personne qui est partie à une communication électronique ».
En l’absence de limitations à ces programmes de surveillance à l’égard des ressortissants non-américains, la CJUE a considèré que le niveau de protection des données à caractère personnel garanti par la réglementation américaine n’est pas substantiellement équivalent au niveau de protection des DCP garanti par l’UE. Dès lors, la CJUE a déclaré l’invalidité de la décision 2016/1250 de la Commission européenne.
Compte tenu d’exigences formulées par la CJUE dans son arrêt Schrems II, le nouveau cadre transatlantique de protection des données personnelles, devra :
- garantir que les activités de surveillance des signaux sont nécessaires et proportionnées à la poursuite d’objectifs de sécurité nationale définis,
- établir un mécanisme de recours indépendant doté d’un pouvoir contraignant pour garantir l’application de mesures correctives directes ;
- améliorer la surveillance rigoureuse et multidimensionnelle des activités de renseignement électromagnétique pour assurer le respect des limites imposées aux activités de surveillance.
La Commission ne pourra adopter une nouvelle décision d’adéquation reconnaissant un niveau satisfaisant de protection des données garanti par les autorités étatsuniennes, que si les exigences énoncées par la CJUE sont satisfaites par les engagements juridiques résultant de cet accord politique de principe entre la Commission européenne et les États-Unis.
Dans sa déclaration, le CEPD évaluera les améliorations de ce nouveau cadre transatlantique pour la protection des données à la lumière de la jurisprudence de la CJUE et de ses recommandations.
Il appréciera notamment :
– La limitation de la collecte de données personnelles à des fins de sécurité nationale au strict nécessaire et selon le respect du principe de proportionnalité ;
– l’existence d’un droit pour les individus de l’EEE à un recours effectif et à un procès équitable, et en particulier, si une éventuelle nouvelle autorité aura accès aux informations pertinentes, y compris aux données personnelles, dans l’exercice de sa mission et pourra adopter des décisions contraignantes pour les services de renseignement. Il étudiera également s’il existe un recours judiciaire contre les décisions ou l’inaction de cette autorité.
Le CEPD a précisé qu’il se tient prêt à assister la Commission européenne dans la construction, avec les États-Unis, d’un nouveau cadre qui soit pleinement conforme à la législation européenne sur la protection des données.
Cadre actuel des transferts de data vers les Etats-Unis
Dans l’attente de l’adoption de la décision d’adéquation par la Commission européenne, les données à caractère personnel collectées dans l’Union européenne ou dans l’Espace Economique Européen (EEE) est possible sous condition de garantir un niveau de protection des données équivalent au niveau assuré au sein de l’UE et l’EEE.
Le RGPD prévoit des exceptions à l’article 49.1 RGPD. Ces dérogations sont d’interprétation stricte. Le CEPD a adopté des lignes directrices sur l’interprétation de l’article 49 du RGPD, qui établissent sa doctrine sur ces dérogations réservées à des situations particulières.
