Le Tribunal de l’Union européenne confirme la validité du EU US Data Privacy Framework. Le pont transatlantique des données est-il enfin ouvert ?

Nouvelles réformes depuis Schrems II

L’échange de données personnelles entre l’UE et les États Unis a un passé mouvementé. Les cadres juridiques régissant ces échanges ont été invalidés à deux reprises par la Cour de justice de l’Union européenne dans les affaires marquantes Schrems I (2015) et Schrems II (2020).

Selon la Cour, la législation américaine n’offrait pas des garanties suffisantes contre l’accès étendu des services de renseignement et de sécurité américains aux données personnelles. En outre, les citoyens européens ne disposaient pas de moyens adéquats pour contester juridiquement une telle ingérence.

À la suite de ces critiques, le gouvernement américain a mis en place d’importantes réformes. Des règles plus strictes ont été imposées aux services de renseignement, mettant l’accent sur les principes du RGPD en matière de proportionnalité et de nécessité. Par ailleurs, une nouvelle juridiction, la « Data Protection Review Court » (DPRC), a été créée afin d’offrir aux citoyens européens la possibilité d’engager une action juridique contre un accès illégal à leurs données personnelles.

Sur la base de ces réformes, la Commission européenne a estimé, le 10 juillet 2023, que les États Unis garantissaient à nouveau un niveau de protection adéquat. Le « EU US Data Privacy Framework » est alors entré en vigueur et a fourni un cadre juridique pour le transfert de données personnelles de l’UE vers les États Unis.

Cette décision a toutefois suscité immédiatement de vives critiques. Un citoyen français, M. Latombe, n’était pas d’accord et a saisi le Tribunal de l’Union européenne. Selon lui, la DPRC ne pouvait être considérée comme une véritable juridiction indépendante et impartiale, l’organe étant trop étroitement lié au pouvoir exécutif. Par ailleurs, il estimait que la législation américaine ne prévoyait pas suffisamment de garanties contre l’interception massive de données (« bulk data interception ») par les services de renseignement et de sécurité, pouvant intervenir sans contrôle judiciaire préalable et effectif.

Le Tribunal a récemment jugé que les arguments de M. Latombe n’étaient pas fondés et a rejeté son recours en annulation. Concernant l’indépendance de la DPRC, le Tribunal a estimé que les juges bénéficient de garanties suffisantes pour exercer leur fonction en toute indépendance, notamment en raison de leur procédure de nomination et de la protection contre la révocation arbitraire.

En ce qui concerne l’interception massive de données, le Tribunal conclut que la législation américaine, telle que modifiée après Schrems II, prévoit désormais des limitations et des mécanismes de contrôle conformes aux exigences du droit de l’Union en matière de proportionnalité et de nécessité.

La saga juridique n’est pas terminée

Cet arrêt est salué par certains comme une « victoire » pour la libre circulation des données entre l’UE et les États‑Unis, après les précédentes « défaites » (dans Schrems I et Schrems II). Toutefois, il convient de faire preuve de prudence avant de considérer l’arrêt‑Latombe comme une approbation définitive et exhaustive du DPF.

En effet, l’arrêt du Tribunal est susceptible de faire l’objet d’un recours devant la Cour de justice, et celui‑ci pourrait encore être annulé par la plus haute juridiction européenne. Compte tenu de la jurisprudence antérieure, il n’est nullement exclu que la Cour soulève une nouvelle fois des critiques concernant les garanties offertes par les États‑Unis.

En outre, le Tribunal ne s’est prononcé que sur la validité de la décision d’adéquation de la Commission, et non sur son application concrète dans des cas individuels.

Les entreprises européennes qui transfèrent des données personnelles vers les États‑Unis restent dès lors tenues de procéder elles‑mêmes à une analyse approfondie des risques et de mettre en place, lorsque cela s’avère nécessaire, des garanties supplémentaires.

Qu’est ce que cela signifie pour votre entreprise ?

1. Il est essentiel de cartographier précisément où sont stockées vos données personnelles (ou celles de vos clients ou collaborateurs) et si elles sont transférées en dehors de l’Espace économique européen (EEE). Pensez, par exemple, aux outils couramment utilisés tels que Microsoft 365 (Outlook, Teams, OneDrive, SharePoint), Google Workspace, Amazon Web Services ou d’autres services cloud américains. L’utilisation de ces services implique généralement un traitement des données sur des serveurs situés aux États Unis.
2. Consultez toujours la politique de confidentialité du client ou du fournisseur concerné. Chez Microsoft, par exemple, vous pouvez vérifier via le Microsoft Trust Center où les données sont stockées et quels mécanismes de transfert sont appliqués. Une analyse détaillée des flux de données et des sous traitants constitue la première étape vers une protection conforme et durable.
3. Les données personnelles peuvent, à ce jour, être transférées à des organisations américaines certifiées dans le cadre du EU US Data Privacy Framework. Vérifiez donc toujours si votre partenaire américain figure bien sur la liste officielle du DPF avant tout transfert. Microsoft Corporation, par exemple, est certifiée, mais ce n’est pas automatiquement le cas de tous les prestataires américains.
4. Même si le DPF constitue actuellement une base juridique valable pour le transfert de données, il reste fortement recommandé de ne pas exclure d’autres mécanismes. Les grandes entreprises technologiques comme Microsoft et Google utilisent souvent également des clauses contractuelles types (SCC) comme garanties supplémentaires. Il est donc conseillé de vérifier si vos fournisseurs mettent à disposition de tels mécanismes supplémentaires et, lorsque cela est possible, de les mettre en œuvre. La combinaison de plusieurs instruments juridiques peut renforcer la résilience et la durabilité de votre stratégie de protection des données dans ce domaine en constante évolution.

Nos avocats PKF BOFIDI Legal sont à votre disposition

Pour toute question relative à la protection des données et aux transferts en dehors de l’EEE, n’hésitez pas à contacter notre équipe PKF BOFIDI Legal — nous serons ravis de vous assister.
Pour un rappel des règles du RGPD, vous pouvez consulter notre précédent article.

Cet article a été rédigé par Lauranne Piotrowski.