Alexandra Iteanu (Iteanu Avocats) "Le nouveau bouclier sur le transfert des données aux Etats-Unis ne sera pas adopté avant l'été 2023"

Pour l'avocate responsable du pôle RGPD et data du cabinet Iteanu Avocats, le décret signé par Joe Biden le 7 octobre n'est que le début du processus. En l'état, le texte n'apporte pas les garanties attendues.

JDN. Joe Biden a signé le 7 octobre 2022 un décret exécutif visant à encadrer de nouveau le transfert des données personnelles de part et d'autre de l'Atlantique. Cette annonce était très attendue...

Alexandra Iteanu. Le 16 juillet 2020, la Commission européenne avait invalidé le Privacy Shield qui encadrait jusqu'alors le transfert des données depuis l'Union européenne vers les Etats-Unis. Elle avait considéré qu'il ne présentait pas un niveau de protection adéquat et équivalent au RGPD. Etaient notamment pointées du doigt l'absence de possibilités de recours effectif pour les personnes concernées et des activités de renseignement américain considérées pas suffisamment nécessaires et proportionnées. Les mises en demeure engagées par la CNIL quant à l'utilisation de Google Analytics découlent de cette invalidation. Idem pour le débat autour de l'hébergement du health data hub sur le cloud Azure de Microsoft (qui s'est traduit par la décision du gouvernement française d'abandonner à terme cette solution, ndlr).

En mars 2022, la Commission européenne et les Etats-Unis ont annoncé un premier accord politique de principe qui a mené à la signature de ce décret par Joe Biden. L'objectif étant de parvenir à un nouvel accord sur le transfert de données répondant aux manquements évoqués dans le cadre de l'invalidation du Privacy Shield.

Quelles seront les conséquences sur les applications américaines en mode cloud manipulant des données personnelles, au premier rang desquelles Google Analytics ?

Pour les éditeurs de ces outils, c'est une bonne nouvelle et un espoir puisque l'accord, s'il est adopté côté européen, pourrait rendre à nouveau licite l'échange de données entre les Etats-Unis et l'Europe.

Ces futurs transferts de données pourront-ils vraiment bénéficier d'une protection équivalente au RGPD outre-Atlantique ?

En l'état actuel de la juridiction américaine, la protection n'est pas équivalente aux Etats-Unis. Le décret signé par Joe Biden prévoit certes des garanties en la matière qui n'existaient pas dans le Privacy Shield. Mais pour l'heure, la législation n'a pas changé outre-Atlantique au niveau fédéral, et ce même si des initiatives sont prises localement, comme en Californie.

Le décret de la Maison-Blanche pourrait en outre conduire à un encadrement en Europe du Cloud Act, cette loi qui permet aux autorités américaines d'accéder à des données stockées par tout éditeur étatsunien à l'étranger. Sur ce point, le texte signé par Joe Biden est-il crédible ?

D'après ce texte, les traitements réalisés par les services de renseignement américains en Europe doivent d'abord être nécessaires et proportionnés à la poursuite d'objectifs de sécurité nationale. Ensuite, le décret introduit un mécanisme de recours qualifié d'indépendant. Si l'accord est adopté, il permettrait à des personnes basées en Europe de porter plainte aux Etats-Unis auprès d'un officier de la protection des libertés civiles. Avec la possibilité, ensuite, de faire appel le cas échéant auprès d'une Cour d'examen de la protection des données, une instance qui vient d'être créée.

"Pour que ce bouclier fonctionne, on devrait l'associer en Europe à une législation équivalente au droit de la consommation"

Ce mécanisme est loin d'être indépendant néanmoins. Le décret stipule d'abord clairement que l'officier en question dépend du renseignement américain. Par ailleurs, la Cour d'examen de la protection des données, en répondant aux demandes de recours, ne pourra ni affirmer ni nier si oui ou non les personnes concernées ont fait l'objet d'un traitement auprès des services secrets. Ce système paraît très opaque.

On attend par ailleurs des documents supplémentaires quant à la procédure de dépôt de plainte. Sur ce plan, se pose la question de la faisabilité juridique et organisationnelle de cette procédure depuis l'Europe ainsi que son coût.

Que faudrait-il mettre en place pour faciliter ce mécanisme ?

On devrait adopter en Europe une législation équivalente au droit de la consommation. Dans le cadre de cette réglementation, la nationalité du consommateur permet de définir le juge compétent et la loi compétente. Au final, un tel mécanisme juridique permettrait un accès plus simple et plus direct au dispositif, plutôt que de déposer une plainte aux Etats-Unis dans une langue étrangère et sous une législation différente.

Ce nouvel accord, s'il venait à être entériné, ne semble pas être une bonne nouvelle pour Bleu et S3ns qui ont pour vocation de commercialiser respectivement Microsoft Azure et Google Cloud en Europe, en les isolant du Cloud Act américain ?

Leur positionnement n'en demeura pas moins pertinent, en particulier pour répondre aux demandes des administrations dans le cadre de la politique Cloud au centre. Une politique qui impose de recourir a minima à des prestataires qualifiés SecNumCloud dans le cas de données sensibles.

"Les offres de cloud Bleu et S3ns resteront pertinentes"

Ces offres, compte-tenu des garanties supplémentaires qu'elles apportent en termes de sécurité, restent également pertinentes pour les opérateurs de services essentiels et plus largement pour tous les domaines manipulant des données sensibles. Quel que soit l'accord adopté, confier ses données à un prestataire qui n'est pas soumis à la législation française ni européenne présentera toujours un risque. D'autant que l'Europe n'aura quoi qu'il arrive aucun contrôle sur les services secrets américains.

Qu'en est-il du processus d'adoption de l'accord côté européen ?

Sur la base du décret signé par Joe Biden, la Commission européenne va d'abord proposer un projet de décision d'adéquation (de la législation américaine au RGPD, ndlr). Ensuite, elle lancera la procédure d'adoption en tant que telle qui passera par plusieurs étapes. La Commission devra d'abord obtenir les avis du comité européen de la protection des données et d'un second comité composé de représentants des Etats membres de l'UE. Le Parlement européen et le Conseil pourront à tout moment demander à la Commission de maintenir, modifier ou retirer la décision d'adéquation au motif qu'elle excède les compétences d'exécution prévues par l'article 45 du RGPD sur le transfert de données. Cette procédure prend environs 6 à 8 mois. Le nouveau bouclier sur le transfert des données aux Etats-Unis ne sera donc pas adopté avant l'été 2023.

Pour les entreprises qui souhaitent transférer dès maintenant des données aux Etats-Unis, quelles sont les options juridiques possibles ?

Le RGPD liste plusieurs dispositifs présentés comme des alternatives en attendant. C'est le cas par exemple des clauses contractuelles types, même si elles imposent que la législation du pays ciblé soit conformes au RGPD. Il existe aussi les règles d'entreprise contraignantes qui permettent à une société multinationale ou un groupe d'entreprises de garantir un niveau adéquat de protection des données à caractère personnel lors du transfert de ces données en dehors de l'UE. Dans certain cas, il est également possible de demander le consentement exprès des personnes concernées.

Alexandra Iteanu est avocate à la Cour d'Appel de Paris et responsable du pôle RGPD et data au sein du cabinet Iteanu Avocats. Elle est également chargée de cours en master "Droit des données, administrations numériques, gouvernements ouverts" à l'Université Paris 1 Panthéon-Sorbonne.