Joe Biden signe le décret présidentiel "Enhancing Safeguards For United States Signals Intelligence Activities" : vers un rétablissement pérenne des transferts transatlantiques de données
Réformes significatives inédites du traitement des données par les renseignements américains. Une main tendue à l'Europe en vue d'un rétablissement des libres transferts avec les États-Unis ?
Le 7 octobre 2022, Joe Biden a signé un décret présidentiel intitulé “Enhancing Safeguards for United States Signals Intelligence Activities”, visant à définir les nouveaux engagements pris par les États-Unis en vue du prochain cadre transatlantique entourant les transferts de données. De réels changements sont apportés par ce texte qui semblent efficacement répondre au point bloquant soulevé à de multiples reprises par la Cour de Justice de l’Union Européenne (CJUE) lors de l’invalidation des deux précédents cadres d’échange de données. Ces évolutions pourraient ainsi bien annoncer le rétablissement pérenne des libres transferts de données entre l’Europe et les États-Unis.
Contexte
Afin de replacer la signature d’un tel décret dans son contexte, il est nécessaire de rappeler rapidement les règles européennes en matière de transferts de données à caractère personnel.
Lorsque les données personnelles de citoyens européens sont transférées vers un pays tiers à l’Union européenne, deux cas de figure principaux peuvent être envisagés :
- Le pays tiers fait l’objet d’une décision d’adéquation.
Une telle décision, entérinée par la Commission européenne, indique que le pays tiers est considéré comme implémentant un niveau de protection des données adéquat et essentiellement équivalent à celui de l’Union européenne. Dans ce cas de figure, les données de citoyens européens peuvent librement être transférées vers le pays tiers, sans aucune obligation additionnelle.
2- Le pays tiers ne fait pas l’objet d’une décision d’adéquation.
Les transferts de données à caractère personnel de citoyens européens vers un tel pays ne peuvent être effectués sans la mise en place de garanties supplémentaires strictement encadrées.
Une telle configuration précède le RGPD (Règlement Général sur la Protection des Données), la Directive européenne (95/46/C) sur la protection des données personnelles visait l’encadrement des transferts transfrontaliers de données. Il était donc, dès 1995, indispensable pour les partenaires de l’Union européenne (dont les États-Unis) d’être en capacité de recevoir librement les données personnelles des citoyens européens.
C’est pourquoi, à partir de 1998, un premier cadre juridique nommé le SAFE HARBOR fut implémenté par les États-Unis, instaurant différents principes visant à garantir un niveau de protection des données personnelles considéré comme adéquat par l’Union européenne, et permettant ainsi un libre transfert transatlantique des données.
Si le Safe Harbor fut pendant longtemps considéré comme un cadre juridique satisfaisant pour assurer le libre transfert des données entre l’Europe et les États-Unis, la Cour de Justice de l’Union Européenne (CJUE) l’invalida par sa décision du 7 octobre 2015, notamment suite aux révélations d’Edward Snowden sur les pratiques de surveillance massive de la NSA en 2013. La principale raison justifiant une telle invalidation porte sur l’insuffisant encadrement des pouvoirs d’accès aux données personnelles octroyés aux autorités américaines dans le cadre de leurs opérations de surveillance : “[l]es données à caractère personnel des citoyens de l’[Union] transférées aux États-Unis dans le cadre [du Safe Harbor] peuvent, en effet, être consultées et traitées par les autorités américaines d’une manière incompatible avec les motifs pour lesquels elles avaient été initialement collectées dans l’[Union] et avec les finalités de leur transfert vers les États-Unis.” - décision C-362/14, point 14.
Suite à une telle invalidation, la Commission européenne et le gouvernement des États-Unis entament immédiatement des discussions en vue de trouver un nouvel accord permettant de rétablir la libre circulation transatlantique des données. C’est ainsi que, le 8 juillet 2016, le PRIVACY SHIELD succède au Safe Harbor comme nouveau cadre juridique relatif aux transferts de données.
Le successeur du Safe Harbor était cependant voué à l’échec, dès lors qu’aucun encadrement ou restriction supplémentaire aux pouvoirs de surveillance des autorités américaines n’a été défini par le texte.
C’est ainsi que le Privacy Shield fut invalidé par la CJUE le 16 juillet 2020, pour des motifs identiques à ceux exposés par la juridiction européenne lors de l’invalidation du Safe Harbor : “Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers […], ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.” - décision C-311/18, point 185.
Depuis l’invalidation du Privacy Shield, l’impossibilité juridique d’un libre transfert de données de citoyens européens à destination d’organisations américaines a mis en difficulté de nombreux acteurs publics comme privés, et fait planer un sentiment d’insécurité juridique marqué relatif aux conditions des transferts de données.
“Enhancing Safeguards For United States Signals Intelligence Activities” : de véritables changements
C’est précisément dans ce contexte que le décret présidentiel “Enhancing Safeguards for United States Signals Intelligence Activities” a été signé le 7 octobre 2022. Ce texte démontre les leçons tirées des invalidations successives du “Safe Harbor” puis du “Privacy Shield”, ainsi que la volonté d’éviter la création d’un troisième cadre de transfert de données voué à l’échec.
En effet, le décret présidentiel en question aborde (enfin !) LA question centrale et indispensable à tout accord pérenne de transfert de données avec l’Union européenne : l’encadrement des pouvoirs d’accès aux données personnelles mis à disposition des autorités publiques américaines dans le cadre de leurs missions de renseignement.
La première section du décret portant sur l’objectif poursuivi par le texte l’exprime d’ailleurs très clairement : “The United States recognizes that signals intelligence activities must take into account that all persons should be treated with dignity and respect, regardless of their nationality or wherever they might reside, and that all persons have legitimate privacy interests in the handling of their personal information. Therefore, this order establishes safeguards for such signals intelligence activities”.
Les mesures d’encadrement implémentées par le décret présidentiel peuvent être divisées en trois catégories.
1- La collecte de données par les services de renseignement
Une première série de mesures vise à définir un cadre strict en matière de collecte de données par les services de renseignement. Pour résumer, une telle collecte devra satisfaire trois critères :
> La collecte poursuit un objectif légitime. De tels objectifs légitimes sont limitativement listés (Section 2 - b - i) et sont tous strictement relatifs à des enjeux de sécurité nationale.
> La collecte ne peut jamais répondre, même partiellement, à un certain nombre d’objectifs prohibés. Ces objectifs prohibés sont également listés dans le texte (Section 2 - b - ii).
> La collecte ne peut être envisagée qu’après avoir pris en considération de manière appropriée les droits civils (principalement celui au respect de la vie privée) de toute personne concernée.
2- Les traitements de données par les services de renseignement américains
Une fois les données collectées dans les conditions décrites ci-dessus, le décret présidentiel définit une série de principes supplémentaires relatifs au traitement de ces données par les services de renseignement. De tels principes visent principalement à minimiser la dissémination et la rétention des données collectées, y compris (et même tout particulièrement) lorsqu’il s’agit de données relatives à des citoyens non-américains :
> Les limites en termes de dissémination des informations des citoyens étrangers doivent être les mêmes que celles définies pour les citoyens américains. De plus, ces données ne peuvent circuler sans qu’un individu ayant reçu une “formation appropriée” ne confirme qu’elles seront correctement protégées, et que le destinataire a strictement besoin de telles données.
> Les limites de conservation des données de citoyens étrangers doivent également être les mêmes que celles implémentées pour des “données comparables” de citoyens américains.
3- Les procédures de recours en cas de violation
La troisième principale série de mesures vise à établir des mécanismes de recours et de réparation en cas de violation des obligations définies par le décret présidentiel.
Ainsi, dans un délai de 60 jours suite à la publication du décret, le Directeur du département du renseignement national est chargé de produire un processus de soumission de plainte. Suite à la soumission, il reviendra au Délégué à la Protection des Libertés Civiles (CLPO) d’examiner la plainte en question, et, si une violation est constatée, de déterminer les mesures correctives appropriées.
L’autorité publique visée par la plainte, ou le plaignant, peuvent faire appel afin de contester la décision du CLPO devant la Cour de révision de la protection des données, une nouvelle juridiction spécifiquement créée pour ce cas de figure par le décret présidentiel.
Conclusion
Si le décret présidentiel “Enhancing Safeguards For United States Signals Intelligence Activities” n’est pas en tant que tel le texte qui servira d’accord entre l’Europe et les États-Unis pour rétablir le libre transfert transatlantique des données, il est en réalité tout aussi important. Il servira en effet de fondation au futur accord, et introduit de réels changements qui semblent apporter une réponse au principal point bloquant ayant aboutit à l’invalidation du Safe Harbor, puis du Privacy Shield.
La Cour de Justice de l’Union Européenne se prononcera bien entendu sur l’ensemble de ces mesures, très probablement lors de l’examen du nouveau cadre de transferts transatlantiques de données. Certains acteurs de la société civile, telle que l’association NOYB, fondée par Max Schrems, considèrent dors et déjà que le contenu matériel des règles introduites par le décret présidentiel n’est pas suffisant afin de satisfaire les exigences de la législation européenne.
Il nous semble cependant que, au-delà de son contenu, le nouveau décret signale la volonté du gouvernement américain actuel de consentir à un certain nombre de compromis afin de rétablir la libre circulation des données entre l’Europe et les États-Unis. Il s’agit de l’ingrédient principal pour un nouveau cadre robuste et pérenne de transferts transatlantiques de données, qui viendra peut-être mettre un terme à la situation d’insécurité juridique qui persiste depuis l’invalidation du Privacy Shield.