L’impossible stabilité du cadre juridique des transferts UE–États-Unis ?
Le Groupe de travail “Flux Transfrontaliers” de l’AFCDP (Association Française des Correspondants à la Protection des Données à caractère Personnel) a fait le point sur l’encadrement juridique des transferts de données personnelles de l’Union européenne vers les États-Unis. Au cœur des débats : la fragilité persistante du Data Privacy Framework (DPF), dernier mécanisme en date approuvé par la Commission européenne pour encadrer ces flux transatlantiques.

Un cadre juridique dont la stabilité est menacée

Successeur du Safe Harbor – invalidé par la Cour de justice de l’Union européenne (CJUE) en 2015 (arrêt Schrems I) et du Privacy Shield – invalidé lui aussi par la CJUE en 2020 (arrêt Schrems II) – le Data Privacy Framework (DPF), en vigueur depuis juillet 2023, repose notamment sur un décret présidentiel américain (Executive Order 14086) et d’organes de contrôle aux USA dont la Data Protection Review Court (DPRC) et le Privacy and Civil Liberties Oversight Board (PCLOB).

Malgré les avancées apportées par ce nouveau dispositif, ce dernier suscite de vives critiques tant sur le plan juridique que pratique.

Florence Gaullier, avocate et co-animatrice du groupe de travail “Flux Transfrontaliers” de l’AFCDP, résume ainsi l’un des aspects au cœur du problème : « Les agences américaines peuvent toujours accéder aux données personnelles sans réel contrôle indépendant. Cela reste a priori incompatible avec le RGPD et la Charte des droits fondamentaux de l’Union. »

Stéphane Grynwajc, avocat à Paris, au Québec, à New York, en Angleterre et au Pays de Galles et co-animateur du groupe de travail “Flux Transfrontaliers” de l’AFCDP, a rappelé qu’il existe de nombreux textes différents en matière de privacy aux Etats-Unis au niveau des Etats et que le rôle des procureurs est fondamental. Il a ainsi exposé qu’il est nécessaire, en cas de transfert de données vers les Etats-Unis de vérifier aussi le droit de l’Etat vers lequel les données sont transférées au sein des Etats-Unis. Certains Etats ont mis en place des textes proches du RGPD par certains aspects. Mais, force est de reconnaître que, au niveau fédéral, « l’approche américaine reste éloignée du RGPD. Le cadre juridique fédéral n’apporte pas les mêmes garanties de protection que celles exigées en Europe. »

Jean-Baptiste Soufron, avocat du député européen Philippe Latombe, est intervenu auprès du groupe de travail “Flux Transfrontaliers” pour présenter l’un des recours en annulation du DPF actuellement pendant devant le Tribunal de l’Union européenne.
Cette action dénonce notamment :
● l’absence de voies de recours effectives pour les citoyens européens ;
● l’absence de contrôle a priori des collectes de données dites « en vrac » ;
● le manque d’indépendance des organes de contrôle mis en place dans le cadre du DPF ;
● les risques liés à la réversibilité unilatérale du dispositif par le Président américain, dont la modification n’est en outre pas nécessairement publique.

« Il est urgent de garantir un droit au recours effectif. Des décisions administratives fondées sur une collecte opaque peuvent avoir des conséquences très concrètes sur la vie des individus », a déclaré Me Soufron.

Depuis le recours introduit par Philippe Latombe, les inquiétudes sur la pérennité du DPF se sont en outre accrues depuis le changement de Président aux USA. Plusieurs postes sont vacants depuis plusieurs mois au sein de plusieurs organes de contrôle (dont la DPRC et le PCLOB) sur lesquels repose le DPF…

Selon Stéphane Grynwajc, l’administration américaine semble considérer néanmoins qu’elle n’a pas remis en question le régime, que ces organes fonctionnent quand même et qu’il appartient à l’Union européenne de déterminer l’avenir de la décision d’adéquation et non aux États-Unis qui considèrent que le DPF est toujours en vigueur et effectif.

Des alternatives insuffisantes en cas d’invalidation du DPF ?

Si le DPF venait à être invalidé, les alternatives – clauses contractuelles types impliquant des analyses d’impact sur les transferts (TIA ou transfer impact assessment) accompagnées de mesures telles que le chiffrement des données avec conservation de la clé de chiffrement dans l’UE et non accessible à l’entité américaine ou recours à des prestataires européens ne recourant à aucun transfert vers les USA, etc. – se révèlent souvent chronophages, coûteuses, techniquement et juridiquement complexes et difficilement applicables à toutes les situations.

Les délégués à la protection des données ont déjà dû faire face à cette situation lors de l’invalidation du Privacy Shield. Ils s’inquiètent de devoir gérer une nouvelle instabilité du cadre des transferts de données vers les Etats-Unis, en particulier (i) dans un contexte géopolitique très différent de celui de 2020 et (ii) dans un contexte où la charge de travail des délégués à la protection des données est décuplée par l’analyse et l’accompagnement quotidien de projets impliquant des systèmes d’intelligence artificielle.

Dans un contexte marqué par l’incertitude, les DPO se retrouvent en première ligne pour accompagner les organismes qu’ils conseillent face à leurs responsabilités juridiques et éthiques croissantes. Nombre d’entre eux alertent sur cet enjeu structurant pour la profession. Même lorsqu’ils trouvent une oreille attentive à leurs préoccupations qui sont de plus en plus considérées comme crédibles et légitimes, les solutions concrètes et réalistes s’avèrent difficiles, voire impossibles, à mettre en œuvre dans « la vraie vie ».

Le sujet est en effet éminemment politique et revient aujourd’hui à faire peser sur les organismes privés comme publics une responsabilité qui incombe en réalité aux pouvoirs étatiques. Seuls les États peuvent résoudre cette problématique, et ce, à un niveau international. En attendant, elle fait perdre un temps considérable et souvent illusoire aux délégués à la protection des données et aux organismes qu’ils conseillent…

« Ce débat dépasse les simples enjeux opérationnels ou juridiques. Il s’agit d’un véritable défi politique et diplomatique qui appelle une réponse à la hauteur des enjeux transatlantiques », conclut Florence Gaullier.

À propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.