L’élaboration d’une décision d’adéquation et son application
Les flux internationaux de données personnelles n’ont jamais été aussi importants. Or ces derniers sont soumis à un régime juridique spécifique lorsqu’il s’agit de transferts hors de l’Union européenne (UE). Il est notamment attendu que le pays ou le tiers, destinataire du flux, se situant en dehors de l’UE assure un niveau de protection des données suffisant et approprié.
Pour rappel, le règlement général sur la protection des données personnelles (RGPD) s’applique à tous les acteurs collectant les données, les traitant ou les hébergeant dans un territoire de l’Union européenne (UE) ou les autres acteurs hors UE traitants des données de résidents de l’UE.
Le RGPD prévoit plusieurs instruments juridiques permettant l’encadrement des transferts de données personnelles avec des tiers hors UE et qui garantissent la continuité de la protection des données personnelles en dehors de l’UE.
Au 1er rang de ces instruments, le RGPD autorise : « Les transferts fondés sur une décision d’adéquation ». Une décision d’adéquation a pour effet d’établir qu’un pays non concerné par le champ d’application du RGPD ou une organisation internationale, assure un niveau de protection adéquat des données personnelles. Cette décision est adoptée par la Commission européenne sur la base de l’article 45 du RGPD « Transferts fondés sur une décision d’adéquation ».
Une fois adoptée, la décision d’adéquation rend possible le transfert de données personnelles vers le pays désigné sans exigences supplémentaires.
La liste des pays bénéficiant d’une décision d’adéquation adoptée par la Commission européenne est disponible sur son site web.
Cet article vous propose de revenir sur les modalités d’établissement et la pérennité d’une décision d’adéquation puis en revenant sur les péripéties associées à la décision des États-Unis.
Arbre de décision extrait du site de la Commission européenne
Quels critères permettent à la Commission européenne d’évaluer le caractère adéquat du niveau de protection d’un pays tiers ?
Le second paragraphe de l’article 45 RGPD fait état de différents éléments pris en compte par la Commission avant d’adopter une décision d’adéquation. Comme le rappelle le considérant n°104 du RGPD « il y a lieu de tenir compte de critères clairs et objectifs », dans un but de transparence et d’égalité vis-à-vis des différents tiers, mais aussi pour que l’évaluation puisse être établie avec précision.
La Commission prend notamment en compte :
Le respect de l’état de droit ;
Le respect par le pays tiers ou l’organisation internationale des droits de l’homme et libertés fondamentales ;
La pertinence de la législation aussi bien générale que sectorielle concernant la sécurité publique, la défense, la sécurité nationale et le droit pénal ;
L’accès des autorités publiques aux données à caractère personnel ;
La mise en œuvre de ladite législation ;
Les règles en matière de protection des données et mesures de sécurité (comprenant aussi les transferts ultérieurs de données vers d’autres tiers) ;
La jurisprudence établie sur le sujet ainsi que les droits effectifs et opposables des personnes concernées ;
Les recours administratifs et judiciaires qu’ont la possibilité d’exercer les personnes concernées dont les données sont transférées.
Un autre facteur pris en compte est celui de l’existence et du fonctionnement effectif d’une ou plusieurs autorités de contrôle indépendantes dans le pays tiers (ou celle(s) auprès de laquelle l’organisation internationale est soumise). Ce « fonctionnement effectif » est apprécié par la capacité de l’autorité à assurer le respect des règles en matière de protection des données et de les faire appliquer, ainsi que l’existence de prérogatives appropriées que peut se voir confier cette dernière. L’effectivité de ce fonctionnement en question passe également par l’aptitude de l’autorité à assister et conseiller les personnes concernées dans l’exercice de leurs droits. La coopération avec les autorités de contrôle des Etats membres est également hautement considérée.
Enfin, une appréciation est établie sur les engagements internationaux ou toutes autres obligations émanant d’instruments juridiquement contraignants ou autres conventions relatives à la protection des données du pays tiers ou de l’organisation internationale.
Une décision d’adéquation d’un Etat tiers est-elle valable ad vitam aeternam ?
Une fois que la Commission européenne a évalué le caractère adéquat du niveau de protection du pays tiers concerné et que celui-ci a donné satisfaction sur les critères d’évaluation, alors elle peut décider « par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat » comme indiqué au paragraphe 3 de l’article 45 du RGPD.
Cet acte d’exécution est adopté par la Commission assistée par le Comité européen de la protection des données (CEPD) et définit le champ d’application territorial et sectoriel et nomme, si ce n’est pas déjà le cas, la ou les autorités de contrôle indépendantes dans le pays concerné.
Toutefois, l’article 45 rappelle que l’acte d’exécution établit un mécanisme d’examen périodique a minima tous les quatre ans prenant en compte toutes les évolutions qu’il serait important de considérer dans l’évaluation du pays concerné.
La Commission restera d’ailleurs particulièrement attentive sur les changements qui seraient susceptibles de porter atteinte et mettre en péril le niveau de protection initialement assuré sur les données personnelles par le pays tiers concerné. Si tel est le cas, le paragraphe 5 de ce même article dispose que la Commission doit prendre les dispositions nécessaires adaptées, à savoir prendre par voie d’actes d’exécution sans effet rétroactif :
Une abrogation de la décision d’adéquation ;
Une modification de la décision d’adéquation ;
Une suspension de la décision d’adéquation.
Les décisions d’adéquation ayant été prise par la Commission sont publiées sur son site internet et publiées au Journal officiel de l’UE avec la liste « des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales » pour lesquels il a été observé un niveau de protection adéquat, ou à l’inverse un niveau de protection ne l’étant plus.
En cas d’urgence catégorique justifiée, ces actes peuvent être applicables immédiatement. Ces derniers ne s’appliqueraient cependant pas aux transferts de données à caractère personnel à destination du tiers concerné qui s’appuieraient sur un mécanisme de transfert mettant en place d’autres mesures permettant d’assurer une protection adéquate de ceux-ci. Cela signifie que si le tiers met en place une des garanties suivantes au sujet des transferts, l’acte visant à suspendre, modifier ou abroger la décision d’adéquation ne l’impactera pas sur lesdits transferts :
Un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
Des règles d’entreprise contraignantes conformes à l’article 47 du RGPD ;
Des clauses types de protection des données adoptées par la Commission ;
Un code de conduite conforme à l’article 40 du règlement ;
Un mécanisme de certification conforme à l’article 42 ;
Pour un des motifs prévus par l’article 49 portant sur les dérogations pour des situations particulières.
Les décisions adoptées par la Commission demeurent donc valables jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par une autre décision de la Commission. Ainsi, une décision d’adéquation n’est pas valable pour toujours, puisque sa pérennité requiert que le pays tiers concerné maintienne dans le temps un cadre aussi bien réglementaire qu’organisationnel et technique assurant une protection jugée équivalente par la Commission européenne.
La Saga des décisions d’adéquation concernant les transferts de données vers les Etats-Unis
Les entreprises américaines se sont appuyées pendant plusieurs années sur un accord nommé le « Safe Harbor » faisant office de décision d’adéquation pour transférer des données de l’UE vers les Etats-Unis. Cet accord s’est vu invalidé par la Cour de Justice de l’Union européenne (CJUE) le 6 octobre 2015 au motif que les Etats-Unis ne disposaient pas d’une réglementation relative à la protection des données personnelles qui empêchait que les autorités américaines accèdent à l’ensemble des communications électroniques des citoyens européens, posant évidemment un problème de respect de la vie privée.
La Commission européenne ainsi que les autorités nationales des Etats membres ont alors travaillé avec les Etats-Unis dans l’objectif de résoudre ce problème. Un nouvel accord est conclu le 12 juillet 2016 nommé « Privacy Shield ». Le 16 juillet 2020, soit 4 ans et 4 jours plus tard, la CJUE va une nouvelle fois invalider cet accord pour des motifs similaires soit un accès trop intrusif de la part des autorités américaines sur les données des citoyens européens.
Plus récemment, le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation à destination des Etats-Unis. Cette décision vient approuver le fait que selon la Commission européenne, les Etats-Unis apportent des garanties de protection des données adéquates aux exigences européennes attendues. Ainsi les organismes américains s’engageant à respecter ce nouveau cadre seront inscrits sur une liste gérée et publiée par le ministère américain du commerce et n’auront plus l’obligation d’encadrer leurs transferts de données par des « clauses contractuelles types » ou toutes autres garanties prévues par le RGPD.
Une première révision de la décision d’adéquation aura lieu dans un an à compter de son entrée en vigueur, comme l’explique cet article publié le 18 octobre 2023 par la CNIL. Il s’agit cependant de rester prudent sur cette décision d’adéquation qui a suscité une vague d’indignation auprès des associations de défense des droits des personnes sur leurs données personnelles et sur la protection de la vie privée des citoyens européens. Des annonces de requête visant à annuler cette nouvelle décision ont d’ores et déjà été faites publiquement. Ainsi, il ne serait pas impossible dans un futur proche de voir la décision d’adéquation entre les Etats-Unis et l’UE une nouvelle fois invalidée.
Affaire à suivre…