Aux termes de longs développements consacrés aux garanties des procédures de collecte des preuves par les autorités judiciaires états-uniennes et de collecte de renseignements étrangers par les services états-uniens, la Commission européenne a validé, par une décision d’adéquation du 10 juillet 2023, prise en application de l’article 45 du RGPD, le nouvel accord – dit Data Protection Framework – passé avec le gouvernement des États-Unis. Pour répondre aux objections de la Cour de justice de l’Union européenne, dans deux arrêts Schrems I et II, la décision subordonne le transfert libre des données vers les États-Unis à de strictes conditions : notamment, un régime de certification annuelle des entreprises destinataires, le respect des principes protecteurs issus du RGPD et l’instauration d’un droit au recours pour les Européens devant une juridiction nouvellement créée, la Data Protection Review Court. S’il est probable que la CJUE soit à nouveau saisie de cet accord, on peut penser que la décision de la Commission ne sera pas cette fois-ci invalidée.

Comm. UE, Adequacy decision for the EU-US Data Privacy Framework, 10 juill. 2023, C(2023) 4745 final, https://lext.so/RG0fvW

La CJUE avait formulé deux objections majeures à l’encontre de tels transferts. Elle avait estimé que les programmes de surveillance « de masse » susceptibles d’être mis en œuvre par les services de renseignement des États-Unis (dont un programme PRISM) heurtaient les principes de nécessité et de proportionnalité. Elle avait aussi critiqué l’absence de droit à un recours effectif des citoyens européens en cas d’abus. Pour y remédier, la décision du 10 juillet consacre la moitié de ses 64 pages (le double avec les annexes) aux procédures encadrant le traitement de données par les autorités judiciaires et les services de renseignement états-uniens ainsi qu’aux recours possibles.

Rappelons que les deux premiers accords entre l’UE et les États-Unis validés par une décision d’adéquation de la Commission européenne se sont heurtés à deux arrêts d’annulation de la Cour de justice de l’Union européenne (CJUE) : le premier arrêt 4 a eu pour conséquence l’annulation de l’accord dit Safe Harbor ; le second arrêt 5 a rendu sans effet le second accord dit Privacy Shield. Tout était donc à reprendre à zéro.

« Vingt fois sur le métier remettez votre ouvrage. Polissez-le sans cesse, et le repolissez… ». Rarement cet extrait d’un poème de la fin du XVIIe siècle, de Boileau-Despréaux, n’a eu une telle résonance si l’on en juge par le caractère laborieux des discussions entamées entre l’Union européenne (UE) et les États-Unis il y a vingt-cinq ans. Ces discussions visaient à déterminer les conditions dans lesquelles les États-Unis pourraient justifier de garanties suffisantes pour être regardés comme en « adéquation », c’est-à-dire assurant aux données individuelles transférées depuis l’Europe une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) 1 . C’est à cette condition en effet qu’un pays tiers peut se voir reconnaître, par une « décision d’adéquation » de la Commission européenne, la possibilité d’obtenir un transfert libre de données personnelles 2 à partir de l’UE et de l’Espace économique européen (EEE) 3 .

Autre différence : le DPF institue un système de « certification ». Pour bénéficier d’un transfert libre de données, les entreprises états-uniennes devront s’engager à respecter les principes établis par le département du Commerce des États-Unis (DoC) figurant en annexe 1 de la décision d’adéquation. L’entité certifiée sera soumise au contrôle de la Federal Trade Commission (FTC) 9 et du département des Transports (DoT) 10 et devra faire renouveler chaque année sa certification.

La décision du 10 juillet 2023 se distingue notablement des douze précédentes décisions d’adéquation de la Commission européenne 6 . À titre d’exemple, la décision du 20 décembre 2001 concernant le Canada, prise en application de la directive de 1995 susvisée, se borne à évoquer sans grands détails les lois canadiennes en matière de protection des données personnelles jugées suffisamment protectrices. La décision prévoit principalement la suspension des transferts de données par les autorités compétentes des États membres au cas où une autorité canadienne constaterait le non-respect des normes de protection validées par la décision d’adéquation. Un autre exemple est celui de la décision du 23 janvier 2019 pour le Japon. Prise sous l’empire du RGPD, elle est sensiblement plus étoffée que les décisions plus anciennes. Elle exclut notamment expressément la collecte « massive et indifférenciée » de données, y compris lorsqu’elle a lieu pour des raisons de sécurité nationale. Toutefois, elle ne détaille pas le fonctionnement des services de sécurité et de renseignement comme le fait le DPF s’agissant des États-Unis. Les deux décisions du 28 juin 2021 concernant le Royaume-Uni de l’après-Brexit, l’une au titre du RGPD, l’autre au titre de la directive sur la protection des données dans le domaine répressif 7 , sont un peu plus explicites sur le fonctionnement des services de renseignement et notamment le droit de toute personne se croyant surveillée illégalement de saisir un tribunal spécialisé, l’Investigatory Powers Tribunal 8 , mais sans atteindre le niveau de détail du DPF.

Le plaignant peut aussi saisir une juridiction états-unienne en vue d’obtenir des dommages et intérêts sur le fondement de la législation des États-Unis (droit de la responsabilité civile, protection du consommateur, etc.).

En ultime recours, il peut saisir un panel d’arbitres indépendants désignés d’un commun accord par le DoC et la Commission européenne pour leur intégrité et leur expertise ; la procédure arbitrale étant également définie conjointement par le DoC et la Commission. Le panel peut enjoindre à l’entité fautive de remédier à l’irrégularité constatée.

• le Recourse, Enforcement and Liability Principle impose aux entités certifiées de s’assurer de la conformité de leurs pratiques en matière de Privacy (self-assessment, formation des employés, contrôles internes…) ; toute fausse déclaration tombant sous le coup du False Statement Act (18 U.S.C. § 1001) et pouvant être sanctionnée.

• l’Access Principle permet à toute personne concernée de demander sans motif particulier l’accès à ses données– sauf exception d’intérêt public – et d’obtenir des explications sur leur utilisation avec obligation pour l’entité de répondre dans un délai raisonnable. Ce droit d’accès est complété par un droit de rectification et d’effacement. Les personnes concernées peuvent aussi s’opposer à la réutilisation de leurs données et à la communication de celles-ci à un tiers. Le DPF indique ne pas traiter des décisions résultant d’un traitement informatique, renvoyant aux principes protecteurs des lois états-uniennes (protection du consommateur, de l’emprunteur, du patient, lois contre la discrimination, etc.) qui s’appliqueront dans cette hypothèse ;

• le Notice Principle oblige toute entité certifiée – si possible lors de la collecte – à indiquer à la personne concernée l’existence de la certification, le type de données collectées, la finalité de la collecte, les tiers auxquels les données seront transmises ainsi que les droits et les voies de recours offertes à la personne concernée ;

Si l’on retrouve là les deux principes de nécessité et de proportionnalité au fondement de la légalité des restrictions aux libertés publiques, c’est qu’en Europe la protection des données personnelles est un droit fondamental (consacré à l’article 8 de la charte des droits fondamentaux de l’Union européenne) 12 . C’est ainsi la conception européenne qui prévaut dans le DPF alors qu’aux États-Unis, tant les lois de protection des données qui existent dans certains États (Californie, Colorado, Virginie) que les lois fédérales spéciales sur le droit à la Privacy sont, elles, orientées vers la protection des consommateurs (incluant les emprunteurs, patients, étudiants, etc.) 13 .

• le Data Accuracy, Minimisation and Security imposant de limiter les données « à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (art. 5. c).

• le Data Integrity and Purpose Limitation Principle suivant lequel seules les données « exactes, adéquates et nécessaires au regard de chaque finalité spécifique du traitement sont traitées » (RGPD, art. 5 (1) (b) ) ;

Le DPF décrit les contrôles administratifs dont font l’objet les autorités dotées de pouvoirs répressifs aux États-Unis. Il mentionne en particulier la présence de Privacy and Civil Liberties Officers (PCLO) au sein de chaque agence et le rôle de l’inspecteur général chargé de contrôler tous les agents du département de la Justice (DoJ), y compris ceux du Federal Bureau of Investigations (FBI). Une agence indépendante, composée de manière bipartisane par des personnalités nommées avec l’approbation du Sénat, est chargée de contrôler les agents du contre-terrorisme. Plus généralement, les autorités judiciaires états-uniennes doivent répondre de leurs activités devant les Judiciary Committees de la Chambre des représentants et du Sénat.

Le DPF consacre de longs développements aux garanties de la procédure pénale états-unienne qui permet, sous le contrôle d’un juge, d’accéder à des données personnelles. Ainsi est-il rappelé que seul un juge peut, sur demande d’un procureur, ordonner des perquisitions ou saisies si les faits suspectés ont un certain degré de probabilité (probable cause). Des mandats de justice peuvent aussi être délivrés en cas de suspicion d’une infraction grave. Comme en France 14 , les autorités publiques états-uniennes peuvent exercer leur droit de communication. L’intervention d’un juge est en revanche requise pour ordonner la collecte en temps réel de données de connexion auprès d’opérateurs de communications électroniques ou, si nécessaire, des écoutes téléphoniques.

V – Les garanties des procédures que doivent respecter les services à des fins de sécurité nationale

Les passages les plus importants (un tiers de la décision) et les plus détaillés de la décision d’adéquation sont ceux consacrés au fonctionnement et aux pratiques des services de renseignement états-uniens. Tenant compte du scandale provoqué en 2013 par les révélations d’Edward Snowden15, un ancien agent de la National Security Agency (NSA) qui en avait dénoncé les programmes de surveillance de masse16, la CJUE avait estimé, dans les arrêts Schrems précités, que ces programmes violaient l’impératif de proportionnalité car ils n’étaient pas limités « au strict nécessaire ». Elle avait relevé que, en outre, les citoyens européens n’avaient pas de droits opposables aux autorités états-uniennes devant les juridictions des États-Unis.

C’est à cette double objection qu’entend répondre la décision d’adéquation du 10 juillet 2023 en perspective d’un troisième recours annoncé par Maximillian Schrems, devenu requérant d’habitude, au lendemain de la publication de la décision de la Commission.

Comme le prévoit en effet le considérant 104 du RGPD à propos de l’appréciation par la Commission européenne de l’adéquation d’un pays tiers, « eu égard aux valeurs fondamentales sur lesquelles est fondée l’Union, en particulier la protection des droits de l’Homme, la Commission devrait, dans son évaluation d’un pays tiers, d’un territoire ou d’un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l’état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l’Homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l’ordre public et le droit pénal ».

À titre incident, on notera que ce considérant est en contraste avec le considérant 16, indiquant que le RGPD « ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale ». Par là, il est clairement fait écho à l’article 4 du Traité sur l’Union européenne (TUE) qui ménage la compétence exclusive des États membres en matière de sécurité nationale. En consacrant le respect par l’UE des « identités nationales », l’article 4 du TUE dispose en effet que « la sécurité nationale reste de la seule responsabilité de chaque État membre ». Or cette distinction entre le contrôle du fonctionnement des services de renseignement étrangers dans le cadre de l’appréciation de l’adéquation d’un pays tiers et la préservation de la compétence des États membres sur leurs propres services n’est pas même respectée par la CJUE, comme en témoignent par exemple l’arrêt Tele2 Sverige du 21 décembre 201617, ainsi que, surtout, l’arrêt Quadrature du Net du 6 octobre 202018. Contrairement à l’article 4, faisant prévaloir le droit individuel à la vie privée, l’arrêt du 6 octobre 2020 limite considérablement la possibilité pour les services de renseignement des États membres d’enjoindre aux fournisseurs de services de communications électroniques de conserver des données de connexion, voire de recourir à l’analyse automatisée de ces données19.

Quoi qu’il en soit, c’est dans le droit fil de la jurisprudence de la CJUE que la décision de la Commission européenne multiplie les détails sur le fonctionnement des services états-uniens et les contrôles auxquels ils sont soumis. Elle rappelle d’abord les bases légales de leurs compétences en matière de renseignement étranger, dont principalement deux Executive Orders du président des États-Unis – l’EO 12333 dans sa version amendée le 30 juillet 2008 et l’EO 14086 du 7 octobre 2022 – ainsi qu’une loi – le Foreign Intelligence Surveillance Act (FISA), section 702.

Selon ces textes, la collecte des données, notamment des signals intelligence (renseignements électromagnétiques20) est autorisée par le président des États-Unis si aucune autre méthode n’est envisageable, en vue de finalités limitativement énumérées (par exemple des menaces militaires ou dues au changement climatique) et sous la condition d’être proportionnée. Une collecte de données indifférenciée (bulk collection) n’est possible que s’il s’avère qu’une surveillance ciblée est impossible ou serait inefficace. L’utilisation des données ainsi collectées est en outre soumise à des limitations.

L’accès aux données d’opérateurs de communications électroniques états-uniens ayant des établissements dans l’UE est subordonné à l’obtention par l’Attorney Général d’une certification délivrée par une cour spécialisée – la Foreign Intelligence Surveillance Court (FISC). Ses décisions peuvent être frappées d’appel devant la Foreign Intelligence Surveillance Court of Review (FISCR).

La certification délivrée par la FISC précise les finalités de la demande d’accès aux données et rappelle l’impératif de minimisation de leur collecte ; la NSA ayant pour mission de déterminer les individus qui sont à surveiller. La décision décrit de façon détaillée les modes d’action de la NSA et leurs contrôles et comment certaines agences peuvent être autorisées par la FISC à procéder à des perquisitions ou saisies. La FISC (ou un autre juge) peut aussi autoriser la saisie de documents de transport.

La FISC peut enfin retirer sa certification à une agence. À titre alternatif, elle peut adresser au gouvernement des Deficiency Orders, i.e. lui enjoindre de remédier aux insuffisances d’une certification.

De nombreuses indications sont données sur les contrôles qui pèsent sur les agences de renseignement états-uniennes. En interne, ces contrôles sont menés par les PCLO désignés dans chaque agence où une procédure de gestion des plaintes doit avoir été mise en place. Les PCLO font régulièrement état au Congrès des plaintes reçues et de leurs conséquences sur les agences. Chaque agence est en outre dotée d’un inspecteur général qui fait également un rapport au Congrès du résultat de ses investigations et le rend public. Le President’s Intelligence Advisory Board (PIAB), qui conseille le président des États-Unis, comporte également une instance de contrôle – l’Intelligence Oversight Board (IOB) – qui veille à la régularité des pratiques des agences de renseignement. Des contrôles sont aussi effectués par le Privacy and Civil Liberties Oversight Board (PCLOB), une autorité indépendante, compétente en matière de contre-terrorisme, formée de manière bipartisane par cinq membres dont la nomination doit être entérinée par le Sénat. Enfin, les services états-uniens sont soumis au contrôle de deux comités du Congrès, les House and Senate Intelligence and Judiciary Committees.

Les activités des agences, en vertu de la décision du 10 juillet, pourront désormais être contestées par tout Européen devant diverses instances. À cet effet, l’UE et les trois États de l’EEE sont désignés comme « États qualifiés ». Les personnes concernées en Europe devront d’abord se tourner vers leur autorité nationale de protection des données, laquelle transmettra leur plainte aux États-Unis. Une investigation sera d’abord menée par le Civil Liberties Protection Officer of the Director of National Intelligence (ODNI CLPO) qui, en cas de violation des principes du DPF, fera un rapport à l’Attorney General adjoint chargé de la sécurité nationale, lequel fera lui-même un rapport à la FISC. C’est cette cour qui décidera s’il y a eu violation du droit à la vie privée de l’intéressé. In fine, le plaignant sera informé soit qu’aucune violation n’a été constatée, soit au contraire qu’elle l’a été et qu’il y a été remédié.

Le plaignant pourra se pourvoir devant la Data Protection Review Court (DPRC) nouvellement créée, et qui constitue l’une des innovations majeures du DPF. Il appartiendra à son autorité nationale de protection des données de l’aviser de la suite donnée et si la décision de la FISC a été ou non confirmée par cette nouvelle cour. Ce système peut être comparé, toutes proportions gardées, au système français de la loi du 24 juillet 201521 qui a instauré un droit de recours devant le Conseil d’État. Ainsi, en France, toute personne voulant vérifier qu’elle ne fait pas l’objet d’une technique irrégulière de renseignement peut saisir, non pas une juridiction comme la FISC, mais une instance administrative indépendante, la Commission de contrôle des techniques de renseignement. Au second degré, le réclamant peut présenter une requête devant une formation spécialisée du Conseil d’État devant qui il est entendu de manière séparée, eu égard aux impératifs du secret-défense22.

S’agissant des services états-uniens, tout Européen ayant subi un préjudice, du fait de l’utilisation ou de la publication illégale d’informations le concernant, pourra en demander réparation devant les juridictions des États-Unis23.