RGPD : suite et fin de la saga Schrems ?

La Commission européenne a adopté le 10 juillet 2023 une décision d’adéquation jugeant le niveau de protection des données assuré aux États-Unis équivalent à celui de l’Union européenne. Cette troisième décision, qui fait suite à l’arrêt Schrems II de 2020 qui avait invalidé la décision d’adéquation précédente, pourrait enfin apporter une certaine stabilité aux responsables de traitement.

Par Cassandre Mariton & Huê Gasparoux, PRD Avocats

Conformément au RGPD, le transfert de données à caractère personnel depuis l’Union européenne vers des pays tiers ne peut avoir lieu que sur la base d’une décision d’adéquation de la Commission ou, à défaut, de garanties appropriées telles que des clauses contractuelles types ou des règles d’entreprise contraignantes.

Particularité, les décisions d’adéquation relatives aux États-Unis adoptées par la Commission ont à chaque fois été invalidées par la CJUE (Cour de Justice de l’Union européenne).

Dans les arrêts Schrems I et Schrems II, la CJUE avait en effet considéré que le niveau de protection étasunien n’était pas compatible avec les exigences de protection requises en droit de l’Union européenne, car les programmes de surveillance des services de renseignement étasuniens n’étaient ni « limités au strict nécessaire », ni proportionnés. De plus, l’organe compétent pour se prononcer sur les recours des personnes concernées par le transfert de données ne constituait pas, selon les juges, une voie de recours effective, vu l’absence de garanties sur son indépendance et sur le caractère contraignant de ses décisions.

Soucieux des contraintes générées par la situation résultant de l’arrêt Schrems II, le Président Joe Biden a décidé de le renforcer en adoptant le 7 octobre 2022 un executive order (décret présidentiel) afin d’introduire les notions européennes de nécessité et de proportionnalité dans l’accès aux données des autorités publiques.

Jugé conforme au niveau de protection assuré par le RGPD, le système actuel comporte désormais un processus d’auto-certification des organismes destinataires des données, qui sont recensés sur le site du Département du Commerce des États-Unis. Comme l’explique la Cnil, « les responsables de traitement peuvent désormais transférer des données personnelles vers [ces] organismes certifiés qui se sont engagés annuellement et publiquement à adhérer à ce cadre légal ».

À l’inverse, les garanties appropriées comme les clauses contractuelles types restent nécessaires dès lors que le destinataire ne fait pas partie de la liste des organismes certifiés. Les responsables de traitement doivent donc vérifier que le destinataire des données est inscrit sur la liste avant de les transférer.

Du point de vue du recours pour les personnes concernées par les transferts de données, celles-ci peuvent s’adresser à la Data Protection Review Court (Cour de révision de la protection des données) créée par le décret présidentiel de 2022.

Alors même que la Commission devra réévaluer le système de protection dans un an, l’activiste autrichien Max Schrems, à l’origine des deux invalidations précédentes, laisse entendre sur les réseaux sociaux que la nouvelle décision d’adéquation n’est pas à l’abri d’une troisième action devant la CJUE…

À LIRE AUSSI :

Gouvernance

Data Privacy Framework : du gaz dans la data !

Thierry Derouet

12 Juil

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !