Anne Le Hénanff
Question N° 10427 au Ministère des ministère de l’Europe et des affaires étrangères
Question soumise le 25 juillet 2023
Mme Anne Le Hénanff appelle l'attention de M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications, sur l'adoption par la Commission européenne de la nouvelle décision d'adéquation concernant la circulation sécurisée et fiable des données entre l'Union européenne et les États-Unis. Le 10 juillet 2023, la Commission européenne a adopté la décision d'adéquation concernant le cadre de protection des données Union européenne - États-Unis. Cette décision conclut que les États-Unis garantissent un niveau de protection adéquat, comparable à celui de l'Union européenne, pour les données à caractère personnel transférées de l'Union européenne vers les entreprises américaines au titre du nouveau cadre. D'après la Commission européenne, la nouvelle décision d'adéquation permettrait que les données à caractère personnel circulent en toute sécurité de l'Union européenne vers les entreprises américaines participant au cadre, sans qu'il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données. Sur les 27 États membres de l'Union européenne consultés pour avis, 24 se sont exprimés en faveur sur cette décision, dont la France. Or, le 11 mai 2023, le Parlement européen a adopté, à 306 voix pour, une résolution sur l'adéquation de la protection assurée par le cadre de protection des données Union européenne - États-Unis (2023/2501 (RSP)) qui émettait plusieurs réserves. Dans sa précédente résolution du 20 mai 2021, le Parlement européen avait invité la Commission à ne pas adopter de nouvelle décision d'adéquation à l'égard des États-Unis, à moins que des réformes significatives ne soient mises en place, en particulier à des fins de sécurité nationale et de renseignement. Pour se conformer aux exigences de l'Union européenne, le président américain Joe Biden a adopté l'Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (EO 14086) le 7 octobre 2022 qui définit des concepts clés en matière de protection des données ainsi que des nouveaux principes à respecter. Cependant, sur le fond, ce décret n'interdit pas les collectes massives de données à caractère personnel. De plus, sur la forme, le décret peut être modifié ou révoqué à tout moment par le président des États-Unis sans que cela ne soit rendu public. Cela crée donc une insécurité juridique importante à l'égard des citoyens européens. En parallèle, un mécanisme de voie de recours à deux niveaux a également été créé pour permettre aux citoyens européens d'introduire une réclamation. Cependant, les décisions rendues par la Cour d'examen de la protection des données, deuxième degré de juridiction, ne seront pas rendues publiques, ni même motivées auprès des plaignants. De plus, cette cour est directement rattachée au pouvoir exécutif américain et ses membres sont désignés par le gouvernement américain. Cela pose évidemment un problème quant au principe de séparation des pouvoirs et ainsi d'indépendance et de transparence des décisions. Dans sa nouvelle résolution du 11 mai 2023, le Parlement européen estime que les principes du cadre de protection des données publiées par le ministère du commerce des États-Unis n'ont pas été modifiées suffisamment et que le cadre de protection des données États-Unis - Union européenne ne crée pas d'équivalence substantielle du niveau de protection. Ainsi, le Parlement européen a invité la Commission à poursuivre les négociations avec ses homologues américains dans le but de créer un mécanisme qui garantirait cette équivalence et assurerait le niveau de protection adéquat requis par le droit de l'Union européenne en matière de protection des données. De plus, le Parlement européen évoque, dans un communiqué de presse, la fragilité juridique de la présente décision d'adéquation. En effet, de nombreuses considérations juridiques laissent penser que cette décision n'est pas conforme au droit de l'Union européenne et permettraient de la faire annuler dans le cadre d'un contentieux devant la Cour de justice de l'Union européenne. Au regard des disparités entre les avis du Parlement européen et celui de la Commission européenne ainsi que de la fragilité juridique de cette décision, elle souhaiterait connaître les raisons qui ont poussé la France à voter favorablement pour l'adoption de la décision d'adéquation Union européenne - États-Unis.
Réponse émise le 26 mars 2024
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation concernant les transferts de données personnelles vers les Etats-Unis (Data Privacy Framework), conformément aux dispositions du règlement (UE) 2016/679, dit règlement général sur la protection des données (RGPD). Cette nouvelle décision d'adéquation est destinée à remplacer la précédente (Privacy Shield), qui avait été annulée par la Cour de justice de l'Union européenne (CJUE) dans un arrêt du 16 juillet 2020 (C-311/18). L'adoption du nouveau Data Privacy Framework fait suite à des évolutions notables du cadre juridique américain, obtenues à la suite de négociations menées par la Commission européenne auprès des autorités américaines, avec pour objectif de répondre aux critiques formulées par la CJUE. Un Executive order présidentiel (EO 14086) et un règlement de l'Attorney General, adoptés début octobre 2022, ont permis la mise en place de nouvelles mesures visant à renforcer la protection de la vie privée et des données personnelles des individus dont les données sont collectées en Europe et transférées ou hébergées aux Etats-Unis, en limitant l'accès à ces données par les services de renseignement américains à ce qui est nécessaire et proportionné à la protection de la sécurité nationale. Le nouveau cadre juridique américain instaure également un nouveau mécanisme de recours indépendant et impartial permettant aux Européens de demander réparation s'ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. Ce mécanisme prévoit deux niveaux de recours, l'un auprès d'un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l'autre auprès d'un nouveau tribunal indépendant, la Data Protection Review Court, chargé d'examiner les recours contre les décisions rendues par l'officier chargé de la protection des libertés civiles. Le projet de nouvelle décision d'adéquation initialement proposé par la Commission a également été révisé à la suite d'une analyse juridique approfondie du Comité européen à la protection des données (CEPD) (avis 5/2023 publié le 28 février 2023 et disponible en ligne) et d'une résolution du Parlement européen (RSP 2023/2501 adoptée le 11 mai 2023). Conformément à la procédure de comitologie prévue par l'article 93 du RGPD, les Etats membres ont été invités à faire part de leurs observations sur ce projet de décision dans le cadre de plusieurs réunions du comité 93 du RGPD. La France a été particulièrement active lors de ces négociations, en portant des positions ayant fait l'objet d'un travail interministériel approfondi et prenant en compte les critiques émises par le CEPD et le Parlement européen. Des modifications importantes ont ainsi été obtenues : plusieurs dispositions ont été précisées pour en clarifier la portée, notamment s'agissant de la mise en œuvre des principes de nécessité et de proportionnalité, des droits des personnes concernées par le transfert des données, et concernant le volet commercial. Des garanties supplémentaires ont été ajoutées s'agissant des voies de recours disponibles, par exemple pour faire obstacle à toute annulation par le Président américain des décisions rendues par la Data Protection Review Court et préciser les procédures de nomination afin de garantir l'indépendance des juridictions constituant le mécanisme de recours. Le CEPD et le comité de l'article 93 du RGPD ont également été explicitement associés à la révision périodique de la décision d'adéquation. La décision d'adéquation a été ainsi été adoptée à la suite d'un avis favorable d'une large majorité d'Etats membres, dont la France, dans le cadre du comité 93 du RGPD. Dans le prolongement de leur implication dans ces négociations, les autorités françaises et européennes feront preuve de la plus grande vigilance pour s'assurer de l'application effective et constante des dispositions de la nouvelle décision d'adéquation par les Etats-Unis, et ainsi garantir un haut niveau de protection des données personnelles des résidents Européens. En tout état de cause, la décision d'adéquation fera l'objet d'un réexamen un an après son adoption, en juillet 2024, comme prévu par l'article 45 du RGPD. La France contribuera activement à ces travaux.
Aucun commentaire n'a encore été formulé sur cette question.