Transferts transfrontaliers : vers un standard occidental global pour une libre circulation des données ?

L'accord sur les transferts de données trouvé entre les Etats-Unis et l'Europe pourrait bien mener à la signature d'un accord bien plus large sous l'égide de l'OCDE : retour sur ce potentiel caché.

Comme nous avons pu le souligner la semaine dernière, Ursula von der Leyen et Joe Biden ont très récemment annoncé la conclusion d’un accord visant à remplacer le Privacy Shield et à rétablir une circulation facilitée des données entre l’Europe et les États-Unis.

Un successeur au Privacy Shield pour les transferts transatlantiques de données

Un tel accord affiche spécifiquement son ambition d’apporter une réponse au problème majeur ayant fondé la décision d’invalidation du Privacy Shield par la CJUE en juillet 2020, qui est celui de l’accès du gouvernement américain, dans le cadre de ses activités de surveillance, aux données personnelles traitées par les entreprises relevant de la législation des États-Unis. Les pouvoirs extrêmement étendus de l’administration américaine en la matière, basés sur divers textes (FISA, Executive Order, Patriot Act, Cloud Act), étaient alors considérés par la juridiction européenne comme trop intrusifs pour faire des États-Unis un pays dont la législation est compatible avec les exigences de l’Europe en termes de protection des données, et donc de permettre une libre circulation des données par le biais d’une décision d’adéquation (pour plus de détails quant aux règles entourant les transferts, voir par exemple notre publication portant sur les transferts de données dans le contrat).

Le fait que le nouvel accord négocié par l’Europe et les États-Unis affirme avoir pour objectif de résoudre un tel problème en implémentant des mesures visant à encadrer et réguler l’accès de ses instances gouvernementales aux données personnelles traitées par ses entreprises est en soi une bonne nouvelle car il permet un optimisme (prudent) quant à la viabilité du texte qui résultera de l’accord. Un optimisme qui doit rester prudent, car nous ne disposons pas encore des détails de ce texte, qui sera immanquablement soumis à l’appréciation de la CJUE.

Mais il est également important de réaliser que la création et la solidité de l’accord bilatéral entre l’Europe et les États-Unis pourrait avoir un impact bien plus global et dépassant les relations entre ces deux seules puissances.

Un projet d’accord multilatéral plus large sous l’égide de l’OCDE

Pour mieux comprendre ce projet, revenons quelques années en arrière. Fin 2020, un certain nombre de pays dont les États-Unis, le Royaume-Uni, et différents pays européen engagent des discussions au sein de l’OCDE en vue de créer un pacte international établissant des règles de base afin d’encadrer la façon dont les agences nationales de renseignement et de sécurité peuvent accéder aux informations personnelles des citoyens dans le cadre de leur activité.

Il faut bien voir que le potentiel d’un tel accord international en termes de circulation des données serait extrêmement important. Les normes européennes en termes de protection des données et plus particulièrement de transferts transfrontaliers affirmées par le RGPD constituent aujourd’hui une norme mondiale de fait : l’Europe, par le biais de ce texte, dispose d’un contrôle très solide sur les pays qui peuvent accéder aux données de ses citoyens, forçant ainsi différentes puissances (occidentales mais pas uniquement) à s’aligner, dans une certaine mesure, sur ses exigences.

Dans ce référentiel juridique global dominé par les règles établies par le RGPD, l’obstacle principal aux libres transferts de données entre puissances notamment occidentales résidait précisément dans les importants écarts nationaux concernant les règles d’accès aux données personnelles par les instances gouvernementales de sécurité et de renseignement. L’invalidation d’abord du Safe Harbor, puis du Privacy Shield l’ont démontré de manière extrêmement claire : dans les deux cas, les fondements de l’invalidation des décisions d’adéquation permettant une libre circulation transatlantique des données se fondait exclusivement sur les lois de surveillance américaines, jugées trop intrusives.

Dans ce contexte juridique, un accord international sous l’égide de l’OCDE, ratifié par un nombre non négligeable de puissances occidentales, normalisant les règles d’accès des gouvernements aux données personnelles dans le cadre de leur activité de sécurité et de renseignement, pourrait bien faire entièrement disparaître l’obstacle pré-cité.

Vers l’aboutissement des négociations sous l’égide de l’OCDE 

Les négociations devant aboutir à un tel accord piétinent cependant depuis plusieurs mois maintenant. Plus précisément, deux groupes de pays s’opposaient quant à ce que devait recouvrir précisément l’accord.

Un premier groupe, les “Five Eyes”, se compose des États-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande. Ce premier bloc de pays souhaite que l’accord négocié se concentre uniquement sur l’encadrement de l’accès aux données par les gouvernements dans le cadre de leur activité de surveillance et de renseignement pour la sécurité nationale.

Le second groupe se compose principalement de pays européens qui souhaitent étendre le champ de l’accord afin d’englober tous les types d’accès des pouvoirs publics aux données personnelles des citoyens ce qui pourrait donc inclure par exemple les activités étatiques de lutte contre la fraude fiscale.

L’accord conclu entre les États-Unis et l’Europe afin de permettre les transferts transatlantiques de données pourrait cependant briser le “statu quo”. En effet, cet accord bilatéral vise principalement à encadrer et réguler l’accès des autorités américaines aux données personnelles des citoyens européens. Il s’agit précisément de la thématique sur laquelle devrait porter l’accord négocié sous l’égide de l’OCDE. Si deux puissances majeures et pourtant opposées dans le cadre des négociations de l’OCDE, l’Europe et les États-Unis, ont finalement réussi à se mettre d’accord dans le cadre de négociations bilatérales sur la question de la régulation de l’accès des instances gouvernementales aux données personnelles, alors ce texte pourrait tout à fait constituer un compromis servant de modèle pour les négociations multilatérales prenant place au sein de l’OCDE.

Cette avancée suscite l’optimisme des négociateurs au sein de l’OCDE, et notamment d’Audrey Plonk, à la tête de la division des politiques en matière d’économie numérique à l’OCDE et en charge de diriger les discussions, qui décrit l’accord entre l’Europe et les États-Unis comme une “bouffée d’air frais” pour les négociations de l’accord multilatéral sous l’égide de l’OCDE. D’autres individus impliqués dans les discussions prévoient l’aboutissement des négociations et la création d’un accord opérationnel pour décembre 2022.

Quoi qu’il en soit, l’accord relatif aux transferts de données entre les États-Unis et l’Europe pourrait ainsi avoir un impact conséquent en servant de fondement à un standard occidental facilitant les transferts transfrontaliers de données à caractère personnel entre les pays de l’OCDE. Rien n’est encore fait cependant, puisque le texte de l’accord n’a pas encore été communiqué. De sa rédaction et de la solidité juridique des mesures qu’il propose dépendra donc une potentielle libre circulation des données à l’échelle globale.