Les transferts de données UE-États-Unis ébranlés par une décision de la Cour suprême américaine
(noyb.eu)- Les transferts de données personnelles entre l’UE et les États-Unis reposaient sur l’existence d’une autorité de contrôle indépendante aux États-Unis, mais la décision Trump v. Slaughter de la Cour suprême américaine fragilise l’hypothèse de l’indépendance de la FTC
- Le droit des traités de l’UE exige que la supervision de la protection des données personnelles soit assurée par une autorité indépendante, et le EU-US Data Privacy Framework de 2023 s’appuyait lui aussi sur la FTC comme élément central
- Safe Harbour et Privacy Shield ayant déjà été invalidés dans Schrems I et II, noyb estime que le nouveau cadre de 2023 répète les mêmes vulnérabilités
- Tous les transferts de données ne sont pas immédiatement interrompus : tant que la European Commission ne retire pas sa décision ou que la CJEU ne l’invalide pas, la décision actuelle reste formellement valable
- Les entreprises utilisant les SCCs ou les BCRs pourraient aussi devoir réexaminer leurs analyses d’impact, qui reposent sur l’indépendance des mécanismes de recours et des autorités de contrôle américaines ; noyb demande le retrait de l’accord UE-États-Unis sur les données
L’affaiblissement de l’indépendance de la FTC fragilise le cadre des transferts UE-États-Unis
- Dans Trump v. Slaughter, la Cour suprême américaine a estimé que la FTC pourrait ne plus être indépendante
- Depuis 2000, l’UE s’appuie sur une FTC indépendante comme base d’exécution des accords de transfert de données personnelles entre l’UE et les États-Unis
- En droit des traités de l’UE, la supervision de la protection des données personnelles doit être assurée par une autorité indépendante
- Les fondements en sont l’Article 16(2) TFEU et l’Article 8(3) of the Charter of Fundamental Rights
- Pour qu’un pays tiers puisse recevoir librement des transferts de données personnelles depuis l’UE, il doit offrir une protection essentiellement équivalente
- Dans le EU-US Data Privacy Framework de 2023, la European Commission a cité la FTC comme fondement à 259 reprises
- noyb et Max Schrems demandent à la European Commission de retirer de façon ordonnée sa décision d’adéquation concernant les États-Unis, au motif que les États-Unis ne disposeraient plus d’une autorité de contrôle indépendante
Invalidations répétées et fragilités du nouvel accord de 2023
- Depuis 1995, l’UE interdit en principe l’exportation de données personnelles vers des pays tiers afin d’empêcher le contournement des règles européennes sur les données personnelles
- Des exceptions existent pour les transferts nécessaires, par exemple une réservation d’hôtel ou des transactions complexes
- De nombreuses entreprises européennes ont externalisé le traitement de données personnelles auprès de fournisseurs cloud américains
- Depuis 2000, la European Commission a reconnu à plusieurs reprises les États-Unis comme un pays « adéquat » en matière de protection des données personnelles, autorisant ainsi la libre circulation des données entre l’UE et les États-Unis
- La CJEU a invalidé Safe Harbour dans Schrems I
- La CJEU a invalidé Privacy Shield dans Schrems II
- Les principales raisons étaient les lois américaines de surveillance et l’insuffisance des voies de recours juridictionnel aux États-Unis
- La CJEU a estimé qu’un mécanisme de recours juridique indépendant était nécessaire même dans les affaires de surveillance gouvernementale
- L’administration Biden a créé la Data Protection Review Court
- Malgré son nom, cet organisme est une autorité d’exécution interne au ministère américain de la Justice
- Son indépendance dépend de l’Executive Order de Biden, que Trump peut modifier à tout moment et qui ne lie pas le président
- La décision Slaughter est présentée comme un revirement à 180 degrés de la jurisprudence existante, estimant que l’indépendance de la FTC est inconstitutionnelle
- Elle suit la unitary executive theory, selon laquelle le président américain doit contrôler toutes les autorités d’exécution fédérales
- Cette approche conduit à considérer comme inconstitutionnelles les lois américaines rendant plusieurs agences indépendantes
Effet immédiat et points que les entreprises doivent réexaminer
- L’impact n’est pas illimité
- La décision de la European Commission reste formellement valable jusqu’à ce que la Commission la retire ou que la CJEU l’invalide
- Il n’y a donc pas d’effet juridique immédiat
- Le GDPR ne régit que les transferts de données personnelles ; les données non personnelles peuvent circuler librement
- L’Article 49 GDPR autorise les transferts nécessaires vers des pays tiers, mais n’autorise pas l’offshoring structurel hors de l’UE lorsqu’il n’est pas strictement nécessaire
- Les SCCs et les BCRs pourraient aussi être affectés
- Certaines entreprises utilisent formellement des SCCs ou des BCRs au lieu du EU-US Framework
- Dans ce cas aussi, une analyse d’impact est généralement nécessaire, et cette analyse repose sur l’indépendance d’autorités d’exécution américaines comme le PCLOB ou la Data Protection Review Court
- Les responsables du traitement qui ne s’appuient pas sur une formal Commission Decision doivent mettre à jour leur analyse immédiatement
- noyb a envoyé à la European Commission une lettre officielle lui demandant de retirer de façon ordonnée l’accord UE-États-Unis sur les données
- Plusieurs États membres de l’UE ont déjà adopté une approche de « digital sovereignty » et annoncé une séparation d’avec les fournisseurs de services américains
- Certains fournisseurs de services américains développent aussi un traitement séparé des données dans l’UE
- noyb prévoit d’engager une action dans les prochaines semaines afin que la CJEU puisse invalider l’accord actuel
- Ce type de procédure prend généralement 2 à 3 ans avant une décision finale
1 commentaires
Avis sur Lobste.rs
C'est une bonne chose. L'UE et le reste du monde qui suivra son exemple ne devraient pas dépendre à ce point d'un État voyou qui prétend que sa propre autorité prime sur tout et refuse désormais de traiter les autres pays ou gouvernements comme des égaux
Cette décision de la Cour suprême fédérale des États-Unis me met en colère, mais ce résumé est un peu exagéré. Ces agences soi-disant « indépendantes » n'ont en réalité jamais été particulièrement indépendantes
Je me demande si l'auteur ne s'est pas laissé tromper par une formule courante et n'a pas mal compris leur nature dès le départ. Je ne vois pas quelle objection pratique on pourrait soulever contre la FTC américaine post-Slaughter qui ne se serait pas appliquée exactement de la même manière avant Slaughter
S'il y a une différence, est-elle seulement d'apparence ? Et ce seul changement d'apparence suffit-il pour que l'UE passe à l'action ? Si oui, tant mieux, mais je ne pense pas que cette décision modifie réellement de manière substantielle la nature de l'« indépendance » des régulateurs américains. Cette indépendance n'existait pas au départ
Ma colère n'a rien à voir avec les effets sur la fausse indépendance de ces agences ; elle concerne une question juridique plus subtile, assez éloignée du sujet de cet article comme de Lobsters en général
Le point de cet article est que la Commission européenne s'est appuyée sur la fiction selon laquelle ces organismes étaient suffisamment indépendants pour justifier l'envoi de données personnelles vers les États-Unis