L'OCDE publie un cadre international pour l'encadrement de l'accès aux données personnelles par les instances gouvernementales

Avec le Declaration on Government Access to Personal Data Held by Private Sector Entities , l'OCDE affiche sa volonté de promouvoir un cadre international de transferts transfrontalier de données solide et pérenne

Les pays membres de l’Organisation de coopération et de développement économiques (OCDE) ont adopté le 14 décembre 2022 le premier accord intergouvernemental établissant des règles communes relatives aux conditions d’accès aux données personnelles à des fins de sécurité nationale et d’application de la loi. Ce texte, intitulé “Declaration on Government Access to Personal Data Held by Private Sector Entities”, a pour objectif explicite de faciliter les accords internationaux de transferts de données en harmonisant les réglementations sur la thématique critique de l’accès aux données personnelles par les instances gouvernementales. Retour sur le contexte, le contenu, ainsi que les enjeux de ce texte inédit.

L’émergence de la problématique de l’accès aux données personnelles par les autorités gouvernementales

Pour comprendre en détail la raison d’être de la déclaration de l’OCDE* ainsi que son importance, il est d’abord nécessaire de revenir quelques années en arrière. Entre 1998 et 2015, les transferts de données entre l’Europe et les États-Unis étaient librement autorisés, car les réglementations de protection des données personnelles étaient considérées comme équivalentes et qu’à ce titre, une décision d’adéquation permettait une libre circulation des données.

Le 7 octobre 2015 cependant, la Cour de Justice de l’Union Européenne (CJUE) décida d’invalider la décision d’adéquation visant les États-Unis, principalement pour une raison : l’encadrement insuffisant de l’accès des autorités américaines aux données personnelles dans le cadre d’opérations de surveillance, de sécurité nationale ou d’application de la loi.

C’est donc dès cette date que la thématique cruciale des conditions d’accès aux données personnelles par les instances gouvernementales se trouve projetée sur le devant de la scène. Les conséquences de l’invalidation de la décision d’adéquation visant les États-Unis sont en effet significatives : la remise en cause de la libre circulation transatlantique des données oblige la renégociation des conditions relatives aux transferts, l’implémentation de garanties supplémentaires, le tout dans un contexte d’insécurité juridique complexe à appréhender pour un grand nombre d’organisations privées comme publiques.

Afin de remédier à une telle situation, des discussions relatives à un nouveau cadre juridique américain de protection des données (le Privacy Shield) sont rapidement engagées, et aboutissent au rétablissement par la Commission européenne de la décision d’adéquation visant les États-Unis en juillet 2016.

Il faut cependant noter que le nouveau cadre juridique du Privacy Shield n’apportait aucun encadrement supplémentaire aux conditions d’accès des instances gouvernementales des États-Unis aux données personnelles récoltées par les entreprises soumises au droit américain. Principalement pour des raisons politiques, les larges pouvoirs de l’administration américaine en la matière ont été conservés. Dans une telle situation, il n’était ainsi pas étonnant que le Privacy Shield et la décision d’adéquation associée soient invalidés rapidement par la CJUE le 16 juillet 2020, pour l’exacte même raison invoquée lors de la première invalidation en 2015.

Les deux arrêts rendus par la CJUE ont ainsi très clairement démontré le caractère fondamental de l’harmonisation des règles entourant l’accès aux données personnelles par les autorités gouvernementales dans le cadre de tout accord transfrontalier relatif aux transferts de données.

Un effort d’harmonisation bilatéral, mais également multilatéral 

Consciente que tout nouvel accord transatlantique ne répondant pas à la problématique des larges pouvoirs d’accès de l’administration américaine aux données à caractère personnel serait voué à l’échec, le gouvernement de Joe Biden a signé, le 7 octobre 2022, un décret présidentiel intitulé “Enhancing Safeguards for United States Signals Intelligence Activities”. Comme nous avons pu déjà l’expliquer dans un précédent article, ce décret a précisément pour objectif de restreindre et d’encadrer les pouvoirs d’accès aux données personnelles mis à disposition des autorités publiques américaines dans le cadre de leurs missions de renseignement. Une démarche d’harmonisation bilatérale visant à aligner les règles du droit américain en la matière aux exigences européennes afin de préparer le prochain cadre transatlantique entourant les transferts de données.

La prise de conscience de l’importance d’une harmonisation des règles entourant l’accès des autorités gouvernementales aux données à caractère personnel en vue de la libre circulation des données entre différents pays a cependant également abouti à un effort multilatéral d’alignement des cadres juridiques sur cette question. En effet, le texte adopté par l’OCDE le 14 décembre 2022, “Declaration on Government Access to Personal Data Held by Private Sector Entities”, s’inscrit dans la dynamique initiée par les négociations entre l’Europe et les États-Unis pour dépasser le cadre transatlantique et harmoniser à l’échelle internationale les standards juridiques d’accès aux données personnelles à des fins de sécurité nationale et d’application de la loi. 38 pays membres de l’OCDE ainsi que l’Union Européenne ont pour le moment signé la déclaration, qui est également ouverte à l’adhésion d’autres pays non-membres de l’OCDE.

En effet, le texte en question définit une série de règles visant à encadrer l’accès aux données personnelles par les autorités gouvernementales des pays signataires. L’accès doit être justifié par une base légale édifiée par le droit du pays en question, être nécessaire et proportionné à la poursuite d’objectifs légitimes, tout en répondant à des règles précises de traitement des données et en garantissant la transparence de ces derniers. De plus, des mécanismes de contrôle impartiaux doivent être mis en place afin de garantir le respect des obligations susvisées. Enfin, le cadre juridique doit offrir aux individus des voies de recours efficaces pour identifier et remédier aux violations des règles d’accès du gouvernement à leurs données personnelles.

La déclaration n’entre dans aucun détail technique juridique concret dans le sens où son objectif est simplement de poser un certain nombre de principes communs que les pays signataires devront ensuite respecter au sein de leurs ordres juridiques nationaux respectifs. La mise en place d’un socle de standards harmonisés permettra cependant, au-delà des détails d’implémentations nationales, de conserver un alignement dans la substance des règles entourant les conditions d’accès aux données personnelles à des fins de sécurité nationale et d’application de la loi.

Conclusion

L’effort d’harmonisation des règles entourant l’accès des autorités gouvernementales aux données à caractère personnel démontre une volonté affichée de renforcement et de stabilisation des accords internationaux établissant la libre circulation transfrontalière des données. L’insécurité juridique, les difficultés économiques et le ralentissement de l’innovation provoqués par l’invalidation successive du Safe Harbor en 2015, puis du Privacy Shield en 2020 ont mis en évidence la nécessité d’aligner les réglementations vers un standard commun en matière d’accès gouvernemental aux données à caractère personnel. 

La déclaration de l’OCDE s’inscrit dans cette dynamique, qui devrait grandement faciliter à l’avenir l’établissement d’accords pérennes de libre transfert transfrontalier de données. Une avancée cruciale dans un monde où les flux de données transfrontaliers sont essentiels au commerce international, au développement économique, ainsi qu’à l’innovation et à la réalisation de nos objectifs économiques et sociétaux.
* L’OCDE est une organisation internationale d'études économiques, dont les pays membres — des pays développés pour la plupart — ont en commun un système de gouvernement démocratique et une économie de marché. La liste des pays membres de l’OCDE est disponible ici.