La Maison Blanche publie le décret exécutif pour les transferts UE-US

La Maison Blanche a publié ce vendredi matin son décret exécutif¹, très attendu depuis le 25 mars 2022, date où la Commission européenne et les États-Unis avaient annoncé leur accord de principe sur un nouveau cadre transatlantique de confidentialité des données².

La balle était donc depuis fin mars dans le camp américain, qui s’était engagé à remettre³, sous la forme d’un décret exécutif « Executive Order »⁴, ses engagements pour le cadre nouveau cadre transatlantique de confidentialité des données.

Ce décret exécutif apporte des engagements clairs du Gouvernement américain concernant :

• L’adoption de garanties additionnelles pour les activités de renseignement menées par les agences US, en exigeant notamment que ces activités soient menées uniquement dans la poursuite des objectifs de sécurité nationale définis et en prenant en considération la vie privée et les libertés civiles de toutes les personnes concernées, indépendamment de leur nationalité ou de leur pays de résidence. En outre, ces activités devront être menées uniquement dans le cadre de la poursuite des objectifs déterminés et de façon proportionnée.
• La mise en place d’exigences adaptées à la collecte d’information dans le cadre des activités de renseignement, assorties de responsabilités renforcées.
• L’instauration d'un mécanisme de recours indépendant et contraignant à plusieurs niveaux, comprenant un tribunal de révision de la protection des données composé de personnes en dehors des États-Unis, pour statuer sur les réclamations et orienter les mesures correctives.
• La mise à jour des politiques et des procédures des agences de renseignement américaines afin de refléter les nouvelles garanties concernant la confidentialité et les libertés civiles contenues dans le décret exécutif.
• L’implication du Conseil de Surveillance de la Vie Privée et des Libertés Civiles ( the « Privacy and Civil Liberties Oversight Board ») pour l’évaluation des politiques et des agences de renseignement américaines afin de s'assurer de leur conformité au décret exécutif et pour procéder à un examen annuel du processus de recours.

Ce décret exécutif va être utilisé comme base de réflexion pour l’élaboration de la décision d’adéquation de l'UE, qui se déroulera suivant les cinq étapes distinctes⁵:

1. La Commission européenne rédigera une proposition de décision d'adéquation et la soumettra au comité européen de la protection des données (EDPB) pour avis.

2. L'EDPB examinera la proposition de décision de l'adéquation et émettra un avis non contraignant.

3. Le Parlement européen, qui n’a pas de rôle formel dans le processus d’adoption de la décision, pourra émettre des propositions non contraignantes.

4. La Commission demandera l’approbation d’un Comité composé de représentants des États membres de l'UE.

5. Enfin, si elle est adoptée par les États membres, la détermination de l'adéquation sera publiée et prendra effet immédiatement.

Ce processus prend quelques mois : la décision d’adéquation Privacy Shield avait pris environ cinq mois en 2016, et plus récemment, le processus d'adéquation du Royaume-Uni a pris quatre mois, s’achevant en juin 2021. L’année 2023 sera donc en principe celle du retour à un cadre réglementaire pour les transferts des données transatlantiques.

Dans l’immédiat, la solution de prudence reste de recourir aux autres solutions ouvertes par le RGPD, à commencer par les clauses contractuelles types associées à une analyse de risques circonstanciée.

Notre équipe Data Privacy vous accompagne sur toute question relative à vos traitements de données personnelles, notamment sur les transferts de données.

¹Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, 7 Octobre 2022, accessible à https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
²United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework, 25 march 2022
³Ibid
⁴executive order | Wex | US Law | LII / Legal Information Institute (cornell.edu)
⁵privacy_shield_trans_atlantic_data_privacy_framework_infographic.pdf (iapp.org)