Protection des données : que retenir du projet d'adéquation adoptée par la Commission Européenne

Le projet de décision d'adéquation pour le cadre de protection des données UE–États-Unis est une étape clé dans l'évaluation des risques liés aux transferts de données personnelles.

Dans une tribune publiée en 2020, des avocats avaient soulevé que « seul un traité international [était à même de] résoudre la question des transferts des données personnelles entre l’Union européenne et les États-Unis ». Une étape majeure vers la résolution de cet épineux sujet a ainsi été franchie le 13 décembre dernier, avec la publication par la Commission européenne (« CE ») de son projet de décision d’adéquation pour le cadre de protection des données UE – États-Unis (Data Protection Framework ou « DPF ») qui vise à favoriser les flux de données transatlantiques et à répondre aux préoccupations soulevées par la Cour de justice de l’Union européenne (« CJUE ») dans ses arrêts Schrems I et Schrems II.

Evolution de l’environnement légal

Le projet de décision d’adéquation est basé sur un mécanisme d’auto-certification, similaire à celui du Bouclier de protection de la vie privée UE – États-Unis qui avait été invalidé, et qui désormais tient compte des changements apportés à la législation américaine par le décret américain 14086 « Enhancing Safeguards for U.S. Signals Intelligence Activities » (« EO 14086 »).

À la lumière de ces changements, la CE conclut que les États-Unis assurent un niveau de protection adéquat des données personnelles transférées de l’UE vers les États-Unis. La publication du projet de décision d’adéquation marque le lancement du processus d’adoption d’une décision finale d’adéquation en 2023. En outre, cette évolution a des implications directes et immédiates sur l’évaluation des risques liés aux transferts de données personnelles vers les États-Unis, et sur le respect de certaines obligations pour se prévaloir de la future décision d’adéquation.

Nombreux sont ceux qui se contentent d’attendre une nouvelle saga judiciaire : les intentions de M. Schrems à ce sujet sont d’ores et déjà publiques, et un Schrems III est attendu en temps voulu. Pour autant, que signifie ce projet d’adéquation pour les entreprises américaines précédemment certifiées sous le bouclier de protection et désireuses de travailler avec l’Union européenne ?

Renforcement des exigences de conformité

Il est peu probable que les principes établis dans le projet de décision soient modifiés de manière à les rendre moins stricts. Ils peuvent devenir plus stricts si les commentaires du Comité Européen de la Protection des Données (EDPB) l’exigent afin de s’aligner plus étroitement au Règlement Général pour la Protection des Données (RGPD), mais toute entreprise américaine, y compris celles ayant maintenu leur certification dans le cadre du bouclier de protection, devrait analyser les exigences de la décision d’adéquation et les implications que celle-ci peut avoir pour son organisation dès aujourd’hui.

À titre liminaire, il est intéressant de noter que la décision d’adéquation étend d’une part, la définition de données personnelles pour y inclure les données publiquement disponibles, et reprend d’autre part des obligations fortement similaires à celles du RGPD : 1) la transparence des traitements, documentée dans une notice d’information, 2) le principe de minimisation et de pertinence du traitement, 3) le consentement requis pour une utilisation secondaire à moins que le traitement ne soit compatible avec la finalité pour laquelle la collecte a eu lieu à l’origine, 4) le choix de « opt-in » pour le traitement des données dites « sensibles », 5) la sécurité, et 6) la mise en place d’une conformité holistique à l’ensemble de la chaîne de production (fournisseurs, sous-traitants), etc.

Enfin, et il s’agit là d’un point central du DPF, il est nécessaire de mettre à disposition des individus des mécanismes de recours indépendants par lesquels les plaintes et les litiges de chaque individu sont examinés et résolus rapidement et sans frais pour l’individu. Et si une entreprise fait l’objet d’une décision de justice ou d’une ordonnance de la Federal Trade Commission (FTC) pour non-conformité, il lui appartient de rendre publics ces éléments.

Implications pour la fonction RH

Une référence spécifique aux données RH peut s’avérer salutaire : il est demandé aux employeurs d’accentuer leurs efforts afin de tenir compte des préférences de leurs employés en matière de confidentialité. Il peut s’agir, par exemple, de restreindre l’accès aux données personnelles, d’anonymiser certaines données ou d’attribuer des codes ou des pseudonymes lorsque les noms réels ne sont pas nécessaires pour les besoins de la gestion des données.

Une société américaine participant au DPF qui utilise des données RH issues de l’UE dans le cadre de la relation de travail et qui souhaite que ces transferts soient couverts par le DPF, doit donc s’engager à coopérer aux enquêtes menées par les autorités compétentes de l’UE et à se conformer à leurs recommandations le cas échéant.

À noter que dans un nombre limité d’hypothèses (réservation d’un vol, d’un hôtel ou d’une couverture d’assurance), les transferts de données à caractère personnel peuvent avoir lieu vers des contrôleurs sans application du principe d’accès ni conclusion d’un contrat direct avec le contrôleur tiers — à condition que les principes de notification et de choix soient respectés.

Voilà donc une feuille de route qui s’annonce bien remplie, et à même de ne laisser guère de temps libre aux protagonistes avant la nouvelle assignation de M. Schrems à l’encontre de la future décision d’adéquation !