Toggle Nav
Nos produits
Mon panier
Menu
Compte
  • Accueil
  • Gestion d'entreprise
  • Transferts de données vers les États-Unis : troisième acte avec le Data Privacy Framework Principles (2/2)
Transferts de données vers les États-Unis : troisième acte avec le Data Privacy Framework Principles (2/2)

Transferts de données vers les États-Unis : troisième acte avec le Data Privacy Framework Principles (2/2)

25.10.2023

Gestion d'entreprise

Après l'invalidation du Safe Harbor et du Privacy Shield par la CJUE, la Commission a adopté le 10 juillet 2023 une nouvelle décision d'adéquation pour les transferts de données à caractère personnel s'opérant entre l'Union et les États-Unis. Dans sa chronique, Jessica Eynard, maître de conférences HDR en droit à l’université de Toulouse Capitole, en décrypte les enjeux. Second volet.

Les critères généraux pris en compte par la Commission

Pour évaluer le niveau de protection du système américain en matière de traitement des données personnelles, la Commission se fonde sur quatre critères (point 89) :

  • toute limitation du droit à la protection des données à caractère personnel doit être prévue par la loi ;
  • la base juridique qui permet l'ingérence dans un tel droit doit elle-même définir la portée de la limitation de l'exercice du droit concerné ;
  • cette base juridique doit fixer des règles claires et précises régissant la portée et l'application des mesures en question et imposer des garanties minimales afin que les personnes dont les données ont été transférées disposent de garanties suffisantes pour assurer leur protection contre le risque d'abus ;
  • ces règles et garanties doivent être juridiquement contraignantes et pouvoir être invoquées par les personnes concernées. Elles doivent garantir l’accès à un tribunal indépendant et impartial pour obtenir l’accès à leurs données à caractère personnel, leur rectification ou leur effacement.

Gestion d'entreprise

Découvrir tous les contenus liés
Les critères retenus pour l’accès et l’utilisation des données par les autorités publiques américaines à des fins répressives

En matière de collecte

La Commission commence par analyser les règles posées au moment de la collecte des données personnelles, puis continue sur le cas de leur réutilisation ultérieure, avant de vérifier les types de contrôle opérés sur les traitements effectués par les autorités publiques et les possibilités de recours.

En matière de collecte, elle observe que les données transférées sur le fondement des Data Privacy Framework Principles peuvent être consultées à des fins répressives par les procureurs fédéraux et les agents d'enquête fédéraux des États-Unis dans le cadre d’actes d’enquête mis en œuvre sur initiative ou sous le contrôle de l’autorité judiciaire (consid. 92 et s.).

En matière d’utilisation ultérieure des données transférées

La Commission reconnaît un niveau de protection normatif équivalent à celui du régime européen, sous deux réserves :

  • les exigences listées au sein des critères analysés s’appliquent généralement à l’utilisation ultérieure des données par les autorités publiques américaines ; ce qui signifie que leur application n’est pas systématique ;
  • les instruments spécifiques applicables aux activités du FBI ne semblent pas reprendre ces exigences.

En matière de contrôle

L’institution européenne observe que deux types de contrôle indépendant sont mis en place :

  • dans la plupart des cas, il s’agit d’un contrôle a priori par le pouvoir judiciaire qui autorise les autorités répressives à accéder aux données dans le cadre d’enquêtes.
  • A certains stades de la procédure pénale, le contrôle est opéré par des autorités non-judiciaires investies du rôle spécifique de protection des libertés fondamentales dans le cadre du traitement des données personnelles par les autorités répressives.

En matière de recours

La Commission dresse une liste des recours ouverts aux personnes concernées. Elles disposent notamment de la possibilité d’agir à l’encontre d’une autorité publique ou de l’un de ses agents traitant leurs données personnelles sur le fondement de plusieurs textes légaux (points 114 et 117). De manière générale, il est possible à toute personne subissant un préjudice juridique du fait de l'action de l'agence, ou affectée ou lésée par l'action de l'agence de demander un contrôle juridictionnel (point 115). Plus spécifiquement, l’individu peut agir en cas d’accès illégal par les autorités répressives au contenu des communications téléphoniques, orales ou électroniques stockées par des fournisseurs de services tiers (point 116). Après avoir épuisé les voies de recours administratives, la personne concernée peut invoquer son droit d’obtenir l’accès aux dossiers des agences fédérales contenant des données personnelles devant un tribunal, à moins que ces documents ne soient protégés.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement
Les critères retenus pour l’accès et l’utilisation des données par les autorités publiques américaines à des fins de sécurité nationale

En matière de collecte

Les autorités américaines peuvent collecter les données transférées sur leur territoire à des fins de sécurité nationale ainsi que les données en transit entre l’Union européenne et les États-Unis, à condition de mettre en œuvre des garanties spécifiques.

Pour l’analyse de l’adéquation de la protection assurée outre-Atlantique, la Commission se concentre sur la collecte de renseignements d'origine électromagnétique (communications électroniques et données provenant de systèmes d'information). Plusieurs textes viennent poser des limitations et garanties pour la collecte de ces données personnelles. Le décret présidentiel étasunien 14086 dispose ainsi que toutes les activités de renseignement d'origine électromagnétique en lien avec la collecte, l’utilisation, la diffusion, de données personnelles sont soumises au respect des principes de légalité, de finalité et de proportionnalité et font l’objet d’un contrôle. L'ingérence dans les droits des personnes doit être limitée à ce qui est nécessaire et proportionné à la réalisation d'un objectif légitime. Ainsi, les motifs pour lesquels des données peuvent être collectées sont limités et la collecte effective ne peut avoir lieu que pour faire progresser une priorité en matière de renseignement établie dans le cadre d’une procédure spéciale qui garantit le respect des considérations relatives à la vie privée.

La section 702 de la loi sur la surveillance des renseignements étrangers (FISA) prévoit la mise en œuvre d’une procédure de certification impliquant l’intervention d’une juridiction indépendante, à savoir le tribunal de la surveillance du renseignement étranger (Foreign Intelligence Surveillance Court, FISC) en cas de collecte de renseignements étrangers via le ciblage de personnes non américaines avec l’assistance obligatoire des fournisseurs de services de communications électroniques américains (point 142).

En tout état de cause, la mise en œuvre des mécanismes de surveillance électronique individualisée traditionnelle est soumise à l’approbation du FISC ou d’une autre juridiction.

En matière d’utilisation ultérieure des données collectées

Six garanties sont listées par la Commission :

  • la mise en œuvre d’une obligation de sécurité, chaque agence de renseignement ayant la charge d’assurer l’intégrité et la confidentialité des données qu’elle détient ;
  • l’obligation pour les agences de renseignement de se conformer aux normes en matière d’exactitude et d’objectivité, notamment en ce qui concerne la qualité et la fiabilité des données, la prise en compte d’autres sources d’information et l’objectivité dans la réalisation des analyses ;
  • le respect d’une durée de conservation des données de personnes non américaines qui doit être équivalente à celle des données de ressortissants américains ;
  • l’application des mêmes critères limitant la diffusion des données du même type concernant les ressortissants américains et non-américains ;
  • l’obligation de conserver une documentation appropriée sur la collecte de renseignements d’origine électromagnétique ;
  • le respect d’exigences plus générales en matière de limitation des finalités, de minimisation des données, d’exactitude, de sécurité, de conservation et de diffusion.

En matière de surveillance

Plusieurs organismes sont impliqués. Chaque agence de renseignement dispose, d’une part, de responsables juridiques et de délégués chargés de garantir le respect du droit américain applicable et, d’autre part, d’un inspecteur général indépendant chargé, entre autres, de contrôler les activités de renseignement extérieur. Un contrôle des agences de renseignement est aussi mis en œuvre par le Conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board, PCLOB) qui intervient dans le domaine des politiques de lutte contre le terrorisme et de leur mise en œuvre, en vue de protéger la vie privée et les libertés civiles. La Commission se réfère au travail effectué par les commissions spéciales du Congrès américain et, de façon plus surprenante, aux efforts entrepris par la communauté du renseignement des États-Unis pour assurer la transparence des activités de renseignement.

En matière de recours

Plusieurs voies de recours sont ouvertes aux personnes concernées de l’Union devant des juridictions indépendantes et impartiales, dotées de pouvoirs contraignants. Ces voies d’action permettent aux personnes concernées d’avoir accès à leurs données à caractère personnel, de faire contrôler la licéité de l’accès des pouvoirs publics à leurs données et, si une violation est constatée, d’y remédier, notamment par la rectification ou la suppression de leurs données à caractère personnel (point 175).

Une personne concernée dans l’Union européenne qui souhaite introduire une réclamation doit la soumettre à l’autorité de contrôle d’un État membre chargée de la surveillance du traitement des données personnelles. De faibles conditions de recevabilité sont exigées, les personnes concernées ne devant fournir que quelques informations de base, sans avoir à démontrer que leurs données ont effectivement fait l’objet d’activités de renseignement d’origine électromagnétique de la part des États-Unis. La procédure aboutit à une décision contraignante du Responsable de la protection des libertés civiles du directeur du renseignement national (Civil Liberties Protection Officer of the Director of National Intelligence) qui peut faire l’objet d’un recours devant une Cour indépendante chargée du contrôle de la protection des données (DPRC). Si l’examen révèle une violation des règles applicables, la Cour précise les mesures correctives qui doivent être prises. Sa décision est contraignante et définitive.

La loi FISA permet également aux personnes concernées d’intenter un recours civil pour demander des dommages et intérêts aux États-Unis lorsque des informations à leur sujet ont été utilisées ou divulguées illégalement et volontairement. Elles peuvent poursuivre des fonctionnaires de l’État américain à titre personnel pour obtenir des dommages et intérêts ou encore contester la légalité de la surveillance électronique par une procédure judiciaire ou administrative aux États-Unis (point 196).

Jessica EYNARD

Nos engagements

La meilleure actualisation du marché.

Notre savoir-faire : mettre à votre disposition des documentations et outils pratiques et mis à jour en permanence par nos équipes de rédaction.
En savoir plus

Un accompagnement gratuit de qualité.

Réponse gratuite à toutes vos questions sur l'utilisation de nos produits. Toute l'équipe du service Relations Clientèle se tient à votre disposition au 01 83 10 10 10, de 9h à 18h en semaine, pour traiter l'ensemble de vos demandes.
En savoir plus

Un éditeur de référence depuis 1947.

Créées en 1947 par Jean Sarrut, les Editions Législatives vous permettent de veiller, sélectionner, regrouper et commenter l’essentiel de l’actualité juridique. Avec le concept du Dictionnaire Permanent, c'est près d'une trentaine de disciplines qui sont couvertes dont le droit social, le droit des affaires, le droit européen des affaires...
En savoir plus

Des moyens de paiement adaptés et sécurisés.

Nous vous proposons de régler vos commandes par chèque, virement, carte bancaire ou prélèvement en ligne SEPA ; pour les produits numériques, vous pouvez en outre bénéficier d'un règlement en 1 ou 12 fois.
En savoir plus