Transferts de données vers les États-Unis : troisième acte avec le Data Privacy Framework Principles (1/2)
24.10.2023
Gestion d'entreprise
Après l'invalidation du Safe Harbor et du Privacy Shield par la CJUE, la Commission a adopté le 10 juillet 2023 une nouvelle décision d'adéquation pour les transferts de données à caractère personnel s'opérant entre l'Union et les États-Unis. Dans sa chronique, Jessica Eynard, maître de conférences HDR en droit à l’université de Toulouse Capitole, en décrypte les enjeux.
Eu égard aux risques juridiques qui pesaient sur les acteurs transférant des données personnelles de l’Union vers les États-Unis, l’adoption d’une nouvelle décision d’adéquation par la Commission était très attendue. C’est chose faite depuis le 10 juillet 2023, la commission reconnaissant un niveau de protection substantiellement équivalent au système établi par le RGPD et par le cadre de protection des données UE-États-Unis.
En résumé, une personne ou une organisation située dans l’UE peut librement transférer des données personnelles vers des destinataires et des sous-traitants établis aux États-Unis dès lors que ces derniers ont une certification indiquant qu’ils appliquent le cadre de protection validé par la Commission.
Cette décision arrive à l’issue d’une procédure complexe, marquée par un accord de principe le 25 mars 2022 entre la Commission et les États-Unis et la signature d’un décret du Président des États-Unis sur le renforcement des garanties applicables aux activités de renseignement d'origine électromagnétique menées outre-Atlantique, complété par des règles adoptées par le procureur général des États-Unis.
Les principes du cadre général de protection reprennent globalement ceux du RGPD, en les adoptant à la marge dans certains cas. Sept principes sont visés.
Tout d’abord, on retrouve l’obligation d’information, avec une liste de mentions à transmettre à la personne concernée au moment du traitement. Parmi ces mentions, on peut noter notamment l’obligation de préciser les données qui sont collectées, les modalités pour joindre l’organisation américaine le cas échéant, l’organe désigné pour régler les litiges et la possibilité de s‘en remettre à la Commission fédérale du commerce (FTC), au Département américain des transports (DoT), ou, en dernier recours, à un panel d’arbitres. Cette obligation s’accompagne d’une obligation de transparence, avec la nécessité pour l’organisation d’apparaître sur une liste des entités adhérant au cadre de protection, tenue par le Département du Commerce américain (DoC).
Ensuite, la décision s’intéresse à un principe dénommé le choice principle qui consiste en la possibilité pour la personne concernée de s’opposer au transfert de ses données à un tiers (à l’exception d’un sous-traitant), à leur utilisation pour une finalité matériellement différente de celle pour laquelle elles avaient été collectées ou pour laquelle la personne avait donné son consentement exprès par un mécanisme de opt-in. En matière de données sensibles, l’organisation doit obtenir le consentement de la personne concernée dans ces cas de figure, sauf exceptions (le traitement est dans l'intérêt vital d'une personne, est nécessaire pour fournir des soins médicaux ou un diagnostic, par exemple).
En troisième lieu, le cadre de protection fait référence au principe d’accountability en matière de transferts ultérieurs de données. Une différence est opérée selon que le destinataire agit en tant que responsable du traitement ou en tant que sous-traitant (renommé « agent » dans la décision). Dans les deux cas, il est exigé que tout transfert ultérieur ait lieu uniquement si trois conditions sont réunies :
- le transfert doit avoir lieu à des fins limitées et spécifiées ;
- sur la base d'un contrat entre l'organisation adhérente au cadre de protection et le tiers, que celui-ci soit situé aux États-Unis ou dans un pays tiers ;
- uniquement si le contrat exige du tiers qu'il fournisse le même niveau de protection que celui qui est garanti par le cadre de protection.
Pour les transferts opérés vers un sous-traitant, le texte est plus strict. Il impose, d’une part, à l’organisation adhérente au cadre de protection désireuse de transférer les données de s'assurer que le sous-traitant n'agit que sur ses instructions, et de prendre des mesures raisonnables et appropriées pour s'assurer que l'agent traite effectivement les informations à caractère personnel transférées d'une manière compatible avec les obligations découlant du cadre de protection. D’autre part, l’organisation doit mettre fin à un traitement non autorisé et y remédier, dès qu'elle en est informée. En cas de problème de conformité dans une chaîne de sous-traitance, l'organisation agissant en tant que responsable du traitement des données sera en principe tenue pour responsable, sauf si elle prouve qu'elle n'est pas responsable de l'événement qui a causé le dommage. Enfin, on notera que le principe d’accountability s’applique au-delà des transferts ultérieurs de données, avec l’obligation de prendre les mesures techniques et organisationnelles appropriées pour se conformer au cadre de protection et d’être en mesure d’en apporter la preuve.
Le cadre de protection prévoit une obligation de sécurité qui implique pour l’organisation américaine qui a adhéré au cadre de protection, de prendre les mesures raisonnables et appropriées pour protéger les données contre la perte, l'utilisation abusive et l'accès non autorisé, la divulgation, l'altération et la destruction, en tenant dûment compte des risques liés au traitement et à la nature des données.
Le cinquième principe, intitulé data integrity and purpose limitation, fait référence cumulativement aux principes de minimisation de la collecte et de finalité posés dans le RGPD. Il conduit à limiter la quantité de données collectées à ce qui est nécessaire pour atteindre la finalité escomptée, à limiter la réutilisation des données et à limiter la durée de conservation des données. Une prolongation de la durée de conservation est possible dans certains cas (archives pour l’intérêt public, journalisme, littérature, art, recherche scientifique ou historique, analyses statistiques).
L’avant-dernier principe, l’access principle, se réfère au droit pour les personnes concernées d’accéder aux données traitées. Il est en réalité bien plus large puisqu’il inclut le droit d’obtenir communication, de corriger, modifier ou supprimer les données qui sont inexactes ou qui ont été traitées en violation du cadre de protection. Ce droit d’accès est limité dans certains cas.
Enfin, le dispositif est complété par un ensemble de règles entourant le droit au recours des personnes concernées, le contrôle de l’application du cadre de protection et la responsabilité des organisations adhérentes à ce cadre. De façon globale, c’est le Département du commerce américain (DoC) qui sera chargé de l’administration et des contrôles en lien avec le cadre de protection, avec l’intervention de la Commission fédérale du commerce (FTC) et du Département américain des transports (DoT) dans leurs secteurs de compétence. Le Département du commerce américain vérifiera, par exemple, si les organisations satisfont à toutes les exigences de certification et si elles ont mis en place une politique de protection de la vie privée contenant les mentions requises en vertu de l’obligation d’information. Il pourra également effectuer des contrôles aléatoires ponctuels, des contrôles ad hoc et des vérifications en lien avec la Commission fédérale du commerce et le Département américain des transports. En cas de doute sur la conformité d’une organisation aux règles du cadre de protection, le Département du commerce américain pourra soumettre un questionnaire à cette dernière. En l’absence de réponse satisfaisante, la Commission fédérale du commerce ou le Département du commerce américain pourront être saisis pour prendre des mesures contraignantes. En cas de non-conformité persistante, l’organisation pourra être retirée de la liste des organisations certifiées comme appliquant le cadre de protection et devra supprimer les données traitées en violation des règles du cadre de protection.
En matière de recours, les personnes concernées disposent de plusieurs recours à leur disposition, qu’elles peuvent exercer à leur convenance, à l’exception du recours à un panel d’arbitres qui n’est possible que de façon subsidiaire.
Premièrement, les personnes peuvent s’en remettre au mécanisme de recours mis en place au sein de l’organisation. Celles-ci ont une obligation de répondre promptement aux plaintes des personnes concernées.
Deuxièmement, elles peuvent saisir un organisme indépendant de règlement des litiges.
Troisièmement, il est possible de porter sa réclamation devant une autorité nationale de protection des données de l'Union, sachant que l’organisation américaine est tenue de coopérer à l'enquête et à la résolution d'une plainte par une autorité nationale de protection des données lorsque cette plainte concerne le traitement de données de ressources humaines collectées dans le cadre d'une relation de travail ou lorsque l'organisation concernée s'est volontairement soumise à la surveillance des autorités nationales de protection des données.
Le quatrième recours implique le Département du commerce américain qui s'est engagé à recevoir, à examiner et à déployer les meilleurs efforts pour résoudre les plaintes concernant le non-respect des règles par une organisation provenant des autorités de contrôle nationales au sein de l’UE que les personnes concernées pourront saisir directement. Enfin, on trouve le recours qui peut être exercé auprès de la Commission fédérale de commerce ou du Département américain des transports. Lorsqu’aucune des voies de recours mentionnées n’a permis de résoudre de manière satisfaisante la difficulté, la personne concernée peut invoquer la tenue d’un arbitrage contraignant mené par le groupe d'experts UE-États-Unis sur la confidentialité des données (EU-U.S. DPDF). Des mesures ont été prévues pour assurer l’accessibilité à cet arbitrage par des personnes concernées européennes. On ajoutera au passage que les personnes concernées peuvent saisir les instances judiciaires américaines dans de nombreuses situations.