Joe Biden a signé le 7 octobre 2022 un décret pour renforcer les garanties que mettront en œuvre les États-Unis afin de mieux protéger les données personnelles, des Européens notamment. Ce texte pourrait faciliter l’implémentation de la nouvelle version du système de protection des données (FDP) entre l’Union européenne et les États-Unis. Ce « Privacy Shield 2.0 » pourra-t-il passer enfin le test de la Cour de justice européenne ? Max Schrems, le président de Noyb, en doute.
« Les flux de données transatlantiques sont essentiels à la relation économique entre l’UE et les États-Unis, qui représente 7 100 milliards de dollars. Le FPD UE-États-Unis rétablira une base juridique importante pour les flux de données transatlantiques en répondant aux préoccupations que la Cour de justice de l’Union européenne a soulevées en invalidant l’ancien cadre du bouclier de protection de la vie privée UE-États-Unis en tant que mécanisme de transfert de données valide en vertu du droit communautaire » explique le 7 octobre 2022 la Maison Blanche.
Selon son locataire, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Il fait référence indirectement à l’application de lois américaines, telles que le Cloud Act, qui permettent à ses agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines, dont les célèbres Gamma (ex-Gafam) qui sont souvent dans le collimateur de l’administration américaine.
L’administration américaine explique qu’elle va créer, sans en préciser la date, un « mécanisme indépendant et contraignant permettant aux personnes des États et des organisations d’intégration économique régionale remplissant les conditions requises, tels que désignés par le décret, de demander réparation si elles estiment que leurs données personnelles ont été collectées par les services de renseignement américains d’une manière qui viole la législation américaine applicable ».
Le décret américain sera-t-il validé par l’EDPB et la CJEU ?
Ce décret américain va dans le bon sens. Mais sera-t-il validé par l’Union européenne et le Conseil européen de la protection des données (EDPB), l’organisme européen qui supervise toutes les agences européennes de protection des données, dont la Cnil ? Ce dernier se félicitait en avril 2022 d’un accord politique sur un futur Privacy Shield 2.0. Toutefois, il demandait déjà à l’époque des éclaircissements sur les propositions concrètes de la Commission européenne et des Etats-Unis pour s’engager.
Max Schrems, le président de Noyb qui est à l’origine notamment de l’arrêt « Schrems II », ne voyait d’ailleurs pas à l’époque comment ce texte pourrait passer le test de la Cour de justice européenne (CJEU). Les accords précédents ayant échoué deux fois à cet égard.
Quant à Paul-Olivier Gibert, le président de l’association des DPO (AFCDP), en doute même s’il affiche un optimisme raisonnable : « Le texte signé par Joe Biden qui encadre l’accès aux données par les services de renseignement est nécessaire, mais il est en lui-même insuffisant pour rétablir la sécurité juridique des échanges de données transatlantiques : les prochaines étapes nécessiteront la vigilance des acteurs ».
Sinon, on a également appris la semaine dernière que la Grande-Bretagne remplacera le RGPD européenne par son propre système, qui devrait être nettement moins lourd et contraignant.
La Maison Blanche donne des précisions sur son décret
Le décret exige tout d’abord que ces activités de renseignement des États-Unis ne soient menées que dans la « poursuite d’objectifs de sécurité nationale définis, qu’elles prennent en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence, et qu’elles ne soient menées que lorsque cela est nécessaire pour faire progresser une priorité validée en matière de renseignement et uniquement dans la mesure et d’une manière proportionnées à cette priorité ». Certes, mais où commence la liberté des uns et où se terminent celle des autres ? Et qu’entend l’administration américaine quand elle dit en gros que ce décret ne s’applique pas quand il s’agit de « faire progresser une priorité validée en matière de renseignement », selon qui et au bénéfice de qui ?
Le décret rend obligatoire le traitement des informations personnelles collectées… par un nouveau mécanisme à plusieurs niveaux
Ensuite, le décret rend obligatoire le traitement des informations personnelles collectées par le biais d’activités de renseignement, sans en préciser de quelle façon. Il étend aussi les responsabilités des responsables juridiques, de la surveillance et de la conformité « afin de garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité ». Si oui, lesquelles concrètement ? La Maison Blanche précise juste qu’elle « exige que les éléments de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles mesures de protection de la vie privée et des libertés civiles contenues dans le décret ».
Cela dit, l’administration américaine précise qu’elle va créer un « mécanisme à plusieurs niveaux pour les personnes des États et des organisations d’intégration économique régionale admissibles, tels que désignés conformément par les services de renseignement, afin d’obtenir un examen et une réparation indépendants et contraignants des plaintes selon lesquelles leurs informations personnelles collectées par le renseignement américain ont été collectées ou traitées par les États-Unis en violation du droit américain applicable, y compris les garanties renforcées du texte ».
Indépendants, les juges de la CLPO pourront déterminer les mesures correctives appropriées si besoin
Dans le cadre du premier niveau, l’officier de protection des libertés civiles du bureau du directeur du renseignement national (CLPO) mènera une enquête initiale sur les plaintes admissibles reçues, afin de déterminer si les garanties renforcées par le décret ou d’autres lois américaines applicables ont été violées et, le cas échéant, de déterminer les mesures correctives appropriées. « Le décret renforce les fonctions statutaires existantes de la CLPO en établissant que sa décision sera contraignante pour la communauté du renseignement, sous réserve du deuxième niveau de contrôle, et fournit des protections pour garantir l’indépendance des enquêtes et des décisions de la CLPO ».
En tant que deuxième niveau de contrôle, le décret autorise et charge l’Avocat Général d’établir une Cour de révision de la protection des données (“DPRC”) – l’équivalent du Conseil européen de la protection des données (EDPB) ? –, afin d’assurer un contrôle indépendant et contraignant des décisions de la CLPO, sur demande de la personne concernée ou d’un élément de la communauté du renseignement. « Les juges de la DPRC seront nommés en dehors du Gouvernement américain et ils auront une expérience pertinente dans les domaines de la confidentialité des données et de la sécurité nationale, examineront les cas de manière indépendante et bénéficieront de protections contre la révocation ».
Les décisions de la Cour de Révision de la Protection des Données seront contraignantes
Les décisions du DPRC concernant l’existence d’une violation du droit américain applicable et, le cas échéant, les mesures correctives à mettre en œuvre, seront contraignantes. Pour améliorer encore l’examen du DPRC, le décret prévoit que ce dernier pourra choisir un avocat spécial dans chaque cas qui défendra les intérêts du plaignant dans l’affaire. Il s’assurera que le DPRC est bien informé des questions et de la loi concernant l’affaire. Le procureur général a publié aujourd’hui un règlement d’accompagnement sur l’établissement de la CRDP.
Enfin le décret demande au Conseil de surveillance de la vie privée et des libertés civiles « d’examiner les politiques et les procédures de la Communauté du renseignement pour s’assurer qu’elles sont conformes au décret et de procéder à un examen annuel de la procédure de recours, notamment pour vérifier si la Communauté du renseignement s’est pleinement conformée ».