Olivier de Maison Rouge
C’est dans ce contexte que l’Union européenne avait réagi en adoptant le Règlement général de protection des données à caractère personnel, ou RGPD, en 2016.
À la lueur de ce texte protecteur de l’intimité électronique des citoyens, notre sphère numérique privée ne devait pus souffrir, sans notre consentement, de l’ingérence d’autres états, entités ou organisations.
En raison des lois américaines de renseignement permettant des immixtions non consenties extraterritoriales, l’Autrichien Maximilien Schrems était ainsi parvenu à faire annuler le Safe Harbor, l’accord transatlantique de transfert des données personnelles, suivant arrêt rendu le 6 octobre 2015 par la Cour de Justice de l’Union européenne.
Par suite, l’UE et les USA avaient conclu un nouvel accord dénommé Privacy Schield, contenant néanmoins diverses exceptions au bénéfice des lois de renseignement. Les mêmes causes produisant les mêmes effets, ce traité a de même été annulé (arrêt CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020).
C’est sur ces décombres qu’est né le Data Privacy Framework (DPF), destiné à suppléer en matière de migration transatlantique données à caractère personnel.
Nous proposons d’en reprendre la substance, sous l’angle des possibles vulnérabilités des données personnelles face à la captation indue.
1/ La mise en place d’un mécanisme de certification sous l’égide du FTC
L’article 2.1.1 du DPF prévoit un mécanisme de certification des entreprises américaines de sorte que « les organisations américaines s’engagent à respecter une série de principes de protection de la vie privée — les « principes du cadre de protection de la vie privée UE - États-Unis », y compris les principes complémentaires qui sont publiés par le ministère américain du Commerce et qui figurent à l’annexe I de la présente décision ».
Ce mécanisme sera géré par le ministère américain du Commerce qui donnera les accréditations. La Federal Trade Commission (FTC) sera en charge de vérifier leur conformité sur le long terme.
« Le ministère du Commerce contrôlera en permanence le respect effectif des principes par les organisations participant au CPD UE - États-Unis au moyen de différents mécanismes. En particulier, il effectuera des «contrôles ponctuels» auprès d’organisations sélectionnées de manière aléatoire, ainsi que des contrôles ponctuels ad hoc auprès d’organisations spécifiques lorsque des problèmes de conformité potentiels sont constatés (par exemple, signalés au ministère du Commerce par des tiers) afin de vérifier si i) le(s) point(s) de contact chargé(s) de traiter les réclamations et les demandes des personnes concernées est (sont) disponible(s) et réactif(s); ii) la politique de protection de la vie privée de l’organisation est facilement accessible, à la fois sur son site web et via un lien sur le site web du ministère du Commerce; iii) la politique de protection de la vie privée de l’organisation reste conforme aux exigences en matière de certification et iv) le mécanisme indépendant de résolution des litiges choisi par l’organisation est disponible pour traiter les réclamations » (article 2.3.2 § 53)
Les prérogatives de la FTC sont les suivantes :
- La FTC peut enquêter sur le respect des principes, ainsi que sur les déclarations mensongères d’adhésion aux principes ou de participation au CPD UE - États-Unis par des organisations qui ont été supprimées de la liste du CPD ou qui ne se sont jamais certifiées.
- La FTC peut exiger la mise en conformité par des injonctions administratives ou des décisions judiciaires fédérales (y compris des «consent orders» obtenus par des transactions) pour obtenir des injonctions préliminaires ou permanentes ou d’autres mesures correctives, et elle contrôle systématiquement si ces directives sont respectées.
- Lorsque les organisations ne se conforment pas à ces injonctions, la FTC peut requérir des amendes administratives et d’autres sanctions, y compris pour tout préjudice causé par le comportement illégal. Chaque consent order adressé à une organisation participant au CPD UE – États-Unis contiendra des dispositions en matière de notification spontanée et les organisations seront tenues de publier toute section du CPD UE - États-Unis se rapportant à un rapport de conformité ou d’évaluation soumis à la FTC ;
- Enfin, la FTC maintiendra une liste en ligne des entreprises visées par des injonctions de la FTC ou des décisions de justice dans des affaires portant sur le CPD UE - États-Unis.
En d’autres termes, le respect du RGPD s’opère par le ministère américain du commerce, amené à certifier et contrôler les entreprises américaines destinataires de données personnelles provenant d’Europe.
2/ La communication des données personnelles aux autorités américaines
L’article 3.1.1.1. Dispose que « Les données à caractère personnel traitées par des organisations américaines certifiées qui seraient transférées depuis l’Union sur la base du CPD UE - États-Unis peuvent être consultées à des fins répressives par les procureurs fédéraux et les enquêteurs fédéraux des États-Unis selon des procédures différentes, comme expliqué en détail aux considérants 92 à 99. Ces procédures s’appliquent de la même manière lorsque des informations sont obtenues auprès de toute organisation américaine, indépendamment de la nationalité ou du lieu de résidence des personnes concernées ».
Le premier paragraphe de l’article 3.1.1.2 prévoit que « En ce qui concerne l’utilisation ultérieure des données collectées par les autorités répressives fédérales, différentes lois, lignes directrices et normes imposent des garanties spécifiques. À l’exception des instruments spécifiques applicables aux activités du FBI (AGG-DOM et Domestic Investigations and Operations Guide du FBI), les exigences décrites dans la présente section s’appliquent généralement à l’utilisation ultérieure des données par toute autorité fédérale, y compris aux données consultées à des fins civiles ou réglementaires. Il s’agit notamment des exigences découlant des mémos/règlements de l’Office of Management and Budget, du Federal Information Security Management Modernization Act, du E-Government Act and du Federal Records Ac »
Une fois que des organisations situées aux États-Unis ont reçu des données à caractère personnel, les services de renseignement américains ne peuvent demander l’accès à ces données à des fins de sécurité nationale que s’ils y sont autorisés par la loi, en particulier en vertu de la loi sur la surveillance des renseignements étrangers (FISA) ou des dispositions légales autorisant l’accès au moyen de lettres de sécurité nationale (National Security Letters, NSL).
Le FISA contient plusieurs bases juridiques qui peuvent être utilisées pour collecter (et par la suite traiter) les données à caractère personnel de personnes concernées de l’Union transférées en vertu du CPD UE - États-Unis [article 105 du FISA, article 302 du FISA, article 402 du FISA, article 501 du FISA et article 702 du FISA, comme décrit plus en détail aux considérants 142 à 152.
Les agences de renseignement américaines ont également la possibilité de collecter des données à caractère personnel en dehors des États-Unis, ce qui peut inclure des données à caractère personnel en transit entre l’Union et les États-Unis. La collecte en dehors des États-Unis est fondée sur le décret présidentiel no 12333 (Executive Order 1233), émis par le président. (article 3.2.1.1 §121 et 122)
Dès lors, les lois de cyberenseignement américaines, telles que le Cloud Act, FISA, EO 1233, etc. trouvent toujours à s’appliquer et, sous certaines garanties procédurales et recours, les motifs de répression pénale et de sécurité nationale permettent toujours de solliciter auprès des opérateurs américains certifiés la communication de données à caractère personnelles en provenance du territoire européen.
Il n’est donc pas certain que les garanties prévues par le RGPD soient suffisantes et propostionnelles à la lueur ds précédentes décisions de la CJUE précédemment rendues dans le domaine.
En conclusion, en vertu du data privacy framework: :
Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Dernier ouvrage publié : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique & une indépendance stratégique » VA Editions, mars 2022
À la lueur de ce texte protecteur de l’intimité électronique des citoyens, notre sphère numérique privée ne devait pus souffrir, sans notre consentement, de l’ingérence d’autres états, entités ou organisations.
En raison des lois américaines de renseignement permettant des immixtions non consenties extraterritoriales, l’Autrichien Maximilien Schrems était ainsi parvenu à faire annuler le Safe Harbor, l’accord transatlantique de transfert des données personnelles, suivant arrêt rendu le 6 octobre 2015 par la Cour de Justice de l’Union européenne.
Par suite, l’UE et les USA avaient conclu un nouvel accord dénommé Privacy Schield, contenant néanmoins diverses exceptions au bénéfice des lois de renseignement. Les mêmes causes produisant les mêmes effets, ce traité a de même été annulé (arrêt CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020).
C’est sur ces décombres qu’est né le Data Privacy Framework (DPF), destiné à suppléer en matière de migration transatlantique données à caractère personnel.
Nous proposons d’en reprendre la substance, sous l’angle des possibles vulnérabilités des données personnelles face à la captation indue.
1/ La mise en place d’un mécanisme de certification sous l’égide du FTC
L’article 2.1.1 du DPF prévoit un mécanisme de certification des entreprises américaines de sorte que « les organisations américaines s’engagent à respecter une série de principes de protection de la vie privée — les « principes du cadre de protection de la vie privée UE - États-Unis », y compris les principes complémentaires qui sont publiés par le ministère américain du Commerce et qui figurent à l’annexe I de la présente décision ».
Ce mécanisme sera géré par le ministère américain du Commerce qui donnera les accréditations. La Federal Trade Commission (FTC) sera en charge de vérifier leur conformité sur le long terme.
« Le ministère du Commerce contrôlera en permanence le respect effectif des principes par les organisations participant au CPD UE - États-Unis au moyen de différents mécanismes. En particulier, il effectuera des «contrôles ponctuels» auprès d’organisations sélectionnées de manière aléatoire, ainsi que des contrôles ponctuels ad hoc auprès d’organisations spécifiques lorsque des problèmes de conformité potentiels sont constatés (par exemple, signalés au ministère du Commerce par des tiers) afin de vérifier si i) le(s) point(s) de contact chargé(s) de traiter les réclamations et les demandes des personnes concernées est (sont) disponible(s) et réactif(s); ii) la politique de protection de la vie privée de l’organisation est facilement accessible, à la fois sur son site web et via un lien sur le site web du ministère du Commerce; iii) la politique de protection de la vie privée de l’organisation reste conforme aux exigences en matière de certification et iv) le mécanisme indépendant de résolution des litiges choisi par l’organisation est disponible pour traiter les réclamations » (article 2.3.2 § 53)
Les prérogatives de la FTC sont les suivantes :
- La FTC peut enquêter sur le respect des principes, ainsi que sur les déclarations mensongères d’adhésion aux principes ou de participation au CPD UE - États-Unis par des organisations qui ont été supprimées de la liste du CPD ou qui ne se sont jamais certifiées.
- La FTC peut exiger la mise en conformité par des injonctions administratives ou des décisions judiciaires fédérales (y compris des «consent orders» obtenus par des transactions) pour obtenir des injonctions préliminaires ou permanentes ou d’autres mesures correctives, et elle contrôle systématiquement si ces directives sont respectées.
- Lorsque les organisations ne se conforment pas à ces injonctions, la FTC peut requérir des amendes administratives et d’autres sanctions, y compris pour tout préjudice causé par le comportement illégal. Chaque consent order adressé à une organisation participant au CPD UE – États-Unis contiendra des dispositions en matière de notification spontanée et les organisations seront tenues de publier toute section du CPD UE - États-Unis se rapportant à un rapport de conformité ou d’évaluation soumis à la FTC ;
- Enfin, la FTC maintiendra une liste en ligne des entreprises visées par des injonctions de la FTC ou des décisions de justice dans des affaires portant sur le CPD UE - États-Unis.
En d’autres termes, le respect du RGPD s’opère par le ministère américain du commerce, amené à certifier et contrôler les entreprises américaines destinataires de données personnelles provenant d’Europe.
2/ La communication des données personnelles aux autorités américaines
L’article 3.1.1.1. Dispose que « Les données à caractère personnel traitées par des organisations américaines certifiées qui seraient transférées depuis l’Union sur la base du CPD UE - États-Unis peuvent être consultées à des fins répressives par les procureurs fédéraux et les enquêteurs fédéraux des États-Unis selon des procédures différentes, comme expliqué en détail aux considérants 92 à 99. Ces procédures s’appliquent de la même manière lorsque des informations sont obtenues auprès de toute organisation américaine, indépendamment de la nationalité ou du lieu de résidence des personnes concernées ».
Le premier paragraphe de l’article 3.1.1.2 prévoit que « En ce qui concerne l’utilisation ultérieure des données collectées par les autorités répressives fédérales, différentes lois, lignes directrices et normes imposent des garanties spécifiques. À l’exception des instruments spécifiques applicables aux activités du FBI (AGG-DOM et Domestic Investigations and Operations Guide du FBI), les exigences décrites dans la présente section s’appliquent généralement à l’utilisation ultérieure des données par toute autorité fédérale, y compris aux données consultées à des fins civiles ou réglementaires. Il s’agit notamment des exigences découlant des mémos/règlements de l’Office of Management and Budget, du Federal Information Security Management Modernization Act, du E-Government Act and du Federal Records Ac »
Une fois que des organisations situées aux États-Unis ont reçu des données à caractère personnel, les services de renseignement américains ne peuvent demander l’accès à ces données à des fins de sécurité nationale que s’ils y sont autorisés par la loi, en particulier en vertu de la loi sur la surveillance des renseignements étrangers (FISA) ou des dispositions légales autorisant l’accès au moyen de lettres de sécurité nationale (National Security Letters, NSL).
Le FISA contient plusieurs bases juridiques qui peuvent être utilisées pour collecter (et par la suite traiter) les données à caractère personnel de personnes concernées de l’Union transférées en vertu du CPD UE - États-Unis [article 105 du FISA, article 302 du FISA, article 402 du FISA, article 501 du FISA et article 702 du FISA, comme décrit plus en détail aux considérants 142 à 152.
Les agences de renseignement américaines ont également la possibilité de collecter des données à caractère personnel en dehors des États-Unis, ce qui peut inclure des données à caractère personnel en transit entre l’Union et les États-Unis. La collecte en dehors des États-Unis est fondée sur le décret présidentiel no 12333 (Executive Order 1233), émis par le président. (article 3.2.1.1 §121 et 122)
Dès lors, les lois de cyberenseignement américaines, telles que le Cloud Act, FISA, EO 1233, etc. trouvent toujours à s’appliquer et, sous certaines garanties procédurales et recours, les motifs de répression pénale et de sécurité nationale permettent toujours de solliciter auprès des opérateurs américains certifiés la communication de données à caractère personnelles en provenance du territoire européen.
Il n’est donc pas certain que les garanties prévues par le RGPD soient suffisantes et propostionnelles à la lueur ds précédentes décisions de la CJUE précédemment rendues dans le domaine.
En conclusion, en vertu du data privacy framework: :
- La décision d’adéquation n’est valable que pour les entreprises américaines certifiées ;
- La délivrance et la surveillance de la certification sont gérées par le département du commerce et la FTC ;
- Les ingérences des agences de surveillance américaines dans les données personnelles sont limitées à des objectifs de sécurité nationale et de répression pénale définis et uniquement si c’est nécessaire à la réalisation de cet objectif tout en collectant les données de manière proportionnée ;
- Un alignement avec les principes directeurs du RGPD ;
- La mise en place d’une nouvelle voie de recours contre les activités de renseignement : le responsable de la protection des libertés civiles du bureau du directeur du renseignement national (CLPO) et l’organisme « d’appel » qui est la cour de révision de la protection des données (DPRC).
Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Dernier ouvrage publié : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique & une indépendance stratégique » VA Editions, mars 2022
Inscription Newsletter
