La Cour suprême des États-Unis vient de mettre un coup de frein aux transferts de données entre l'UE et les États-Unis

• Décision d'exécution (UE) 2023/1795 de la Commission relative au cadre de protection des données UE-États-Unis (EUR-Lex)
• Arrêt de la Cour suprême des États-Unis dans l’affaire affaire Trump c. Slaughter
• noyb Lettre adressée à la Commission européenne

Le cadre de protection des données UE-États-Unis. Depuis 1995, l’UE interdit de manière générale l’exportation de données à caractère personnel vers des pays tiers, afin de garantir que les règles de l’UE en matière de protection de la vie privée ne puissent être contournées par le simple fait d’envoyer des données à l’étranger. Bien qu’il existe des exceptions pour les transferts nécessaires, allant de la simple réservation d’un hôtel à des transactions complexes, de nombreuses entreprises de l’UE ont simplement externalisé le traitement des données à caractère personnel auprès de fournisseurs de services cloud américains. Depuis 2000, la Commission européenne a reconnu à plusieurs reprises que les États-Unis constituaient un pays « adéquat » en matière de protection des données à caractère personnel, autorisant ainsi la libre circulation des données entre l’UE et les États-Unis. La Cour de justice de l’Union européenne (CJUE) a annulé les deux décisions précédentes de la Commission dans l’affaire dite «Schrems I» (mettant fin au « Safe Harbour ») et «Schrems II» (qui a mis fin au « Privacy Shield »), en raison des lois américaines sur la surveillance et de l’absence de recours judiciaires aux États-Unis. Néanmoins, la Commission européenne a conclu en 2023 un troisième accord entre l’UE et les États-Unis, intitulé «Cadre de protection des données UE-États-Unis», qui était en grande partie un copier-coller des accords précédemment annulés.

Exigence de l’UE concernant une autorité de protection des données indépendante.Le droit des traitésde l’UE(c’est-à-dire le cadre « constitutionnel » de l’UE), à savoir l’ l’article 16, paragraphe 2, du TFUE et l’article 8, paragraphe 3, de la Charte des droits fondamentaux, exigent que le contrôle des questions relatives à la protection des données soit assuré par une autorité « indépendante ». Étant donné que les pays tiers doivent disposer de protections « essentiellement équivalentes », il est nécessaire que tout pays tiers souhaitant bénéficier de la libre circulation des données à caractère personnel en provenance de l’UE offre également de telles protections. Jusqu’à présent, les États-Unis ont désigné la FTC, « indépendante », comme autorité de régulation en matière de protection de la vie privée afin de répondre à l’exigence de l’UE concernant une surveillance indépendante. L’UE, quant à elle, s’est appuyée pas moins de 259 (!) fois sur la FTC dans sa décision relative aux flux de données entre l’UE et les États-Unis.

Max Schrems : «Le cadre constitutionnel de l’UE exige avant tout une surveillance indépendante. La seule façon de changer cela serait un vote unanime de tous les États membres de l’UE pour modifier les traités de l’UE.»

L’exigence d’une juridiction indépendante. En outre, la CJUE a également souligné que les États-Unis devraient mettre en place un mécanisme de recours juridique indépendant en matière de surveillance gouvernementale. Les États-Unis n’ayant pas été en mesure d’adopter une législation pertinente, l’administration Biden a créé une «Tribunal de contrôle de la protection des données». Bien qu’elle soit qualifiée de « cour », il s’agit en réalité d’un organe exécutif relevant du ministère américain de la Justice. Son « indépendance » n’est garantie que par un décret présidentiel (EO) de l’ancien président Biden, qui peut être modifié à tout moment par Trump et qui n’est pas contraignant pour le président. 

L’arrêt « Slaughter » : un pouvoir exécutif unitaire (Trump). Dansun revirement à 180° par rapport à la jurisprudence, la majorité conservatrice de la Cour suprême des États-Unis a désormais décidé que l’indépendance de la FTC était inconstitutionnelle. Cette décision s’inscrit dans le cadre d’une théorie « unitaire », selon laquelle le président américain doit exercer un pouvoir sur tous les organes exécutifs américains et a déclaré inconstitutionnelles toutes les lois américaines qui confèrent une indépendance à diverses agences. Étant donné que l’UE s’est appuyée dans presque tous les cas sur l’« indépendance » de la FTC en tant qu’autorité de contrôle de la protection de la vie privée, toute la structure du cadre de protection des données UE-États-Unis vient de s’effondrer.

Max Schrems : «Même selon la logique de la Commission européenne, le fondement de tout accord de transfert de données entre l’UE et les États-Unis est désormais caduc. Nous appelons la Commission à entamer une sortie ordonnée du cloud américain – ce qui n’est pas facile, mais malheureusement inévitable. La Commission a construit un château de cartes juridique sous la pression de l’industrie ; maintenant qu’il s’effondre clairement, elle doit en assumer la responsabilité.»

Un impact qui n’est pas illimité. Mêmesi tous les fondements de la décision de l’UE ont disparu, la décision de la Commission européenne reste formellement en vigueur jusqu’à ce que la Commission européenne l’abroge ou que la Cour de justice l’annule. Il n’y a donc pas d’effet immédiat. Le RGPD ne réglementait d’ailleurs que le transfert de données à caractère personnel. Les données non personnelles peuvent circuler librement. De plus, l’article 49 du RGPD autorise les transferts de données nécessaires vers tout pays tiers. Il n’autorise toutefois pas la délocalisation structurelle des données hors de l’UE, si celle-ci n’est pas strictement nécessaire.

Les clauses contractuelles types (SCC) et les règles d’entreprise contraignantes (BCR) sont également concernées. Si certaines entreprises ne s’appuient pas directement sur l’accord-cadre UE-États-Unis et recourent plutôt officiellement aux SCC et aux BCR, elles s’appuient généralement aussi sur une « analyse d’impact » qui, à son tour, repose sur des organes exécutifs américains autrefois indépendants, tels que le PCLOB ou la Data Protection Review Court. La décision de la Cour suprême les concerne donc généralement aussi, même si elles ne s’appuient pas sur la FTC. À l’exception des responsables du traitement s’appuyant sur une décision formelle de la Commission, elles doivent immédiatement mettre à jour leur analyse – et en conclure logiquement que les transferts de données ne sont plus licites.

Prochaines étapes : la Commission doit abroger l’accord UE-États-Unis. noyb a adressé une lettre officielle à la Commission européenne aujourd’hui, lui demandant de prendre les mesures appropriées pour abroger l’accord UE-États-Unis sur les données de manière ordonnée. Sur le plan politique, de nombreux États membres de l’UE se sont déjà orientés vers une approche de « souveraineté numérique » et ont déclaré vouloir se dissocier des prestataires de services américains. Certains prestataires de services américains s’orientent également vers un traitement séparé des données de l’UE. Cependant, étant donné que les États-Unis exercent toujours une pression considérable sur l’UE pour que les données à caractère personnel continuent de circuler, noyb intentera également une action en justice dans les semaines à venir, dans le but de permettre à la CJUE d’annuler l’accord actuel. Toutefois, une telle procédure prend généralement entre deux et trois ans avant qu’une décision définitive ne soit rendue.