La Commission européenne valide les conditions de l’adéquation des États-Unis à la libre circulation des données personnelles de part et d’autre de l’Atlantique

Publié le 08/08/2023
La Commission européenne valide les conditions de l’adéquation des États-Unis à la libre circulation des données personnelles de part et d’autre de l’Atlantique
Andrii Symonenko/AdobeStock

Aux termes de longs développements consacrés aux garanties des procédures de collecte des preuves par les autorités judiciaires états-uniennes et de collecte de renseignements étrangers par les services états-uniens, la Commission européenne a validé, par une décision d’adéquation du 10 juillet 2023, prise en application de l’article 45 du RGPD, le nouvel accord – dit Data Protection Framework – passé avec le gouvernement des États-Unis. Pour répondre aux objections de la Cour de justice de l’Union européenne, dans deux arrêts Schrems I et II, la décision subordonne le transfert libre des données vers les États-Unis à de strictes conditions : notamment, un régime de certification annuelle des entreprises destinataires, le respect des principes protecteurs issus du RGPD et l’instauration d’un droit au recours pour les Européens devant une juridiction nouvellement créée, la Data Protection Review Court. S’il est probable que la CJUE soit à nouveau saisie de cet accord, on peut penser que la décision de la Commission ne sera pas cette fois-ci invalidée.

Comm. UE, Adequacy decision for the EU-US Data Privacy Framework, 10 juill. 2023, C(2023) 4745 final, https://lext.so/RG0fvW

I – Une décision d’adéquation qui tient compte des critiques des précédents accords par la CJUE

« Vingt fois sur le métier remettez votre ouvrage. Polissez-le sans cesse, et le repolissez… ». Rarement cet extrait d’un poème de la fin du XVIIe siècle, de Boileau-Despréaux, n’a eu une telle résonance si l’on en juge par le caractère laborieux des discussions entamées entre l’Union européenne (UE) et les États-Unis il y a vingt-cinq ans. Ces discussions visaient à déterminer les conditions dans lesquelles les États-Unis pourraient justifier de garanties suffisantes pour être regardés comme en « adéquation », c’est-à-dire assurant aux données individuelles transférées depuis l’Europe une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD)1. C’est à cette condition en effet qu’un pays tiers peut se voir reconnaître, par une « décision d’adéquation » de la Commission européenne, la possibilité d’obtenir un transfert libre de données personnelles2 à partir de l’UE et de l’Espace économique européen (EEE)3.

Cette possibilité, prévue par la directive n° 95/46/CE sur la protection des données personnelles, est actuellement mentionnée par l’article 45 du RGPD, suivant lequel « un transfert de données à caractère personnel vers un pays tiers (…) peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers (…) assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique ».

Rappelons que les deux premiers accords entre l’UE et les États-Unis validés par une décision d’adéquation de la Commission européenne se sont heurtés à deux arrêts d’annulation de la Cour de justice de l’Union européenne (CJUE) : le premier arrêt4 a eu pour conséquence l’annulation de l’accord dit Safe Harbor ; le second arrêt5 a rendu sans effet le second accord dit Privacy Shield. Tout était donc à reprendre à zéro.

Le nouvel accord ou Data Protection Framework (DPF), validé par la décision d’adéquation du 10 juillet 2023, présente des garanties bien plus solides que les précédentes, en particulier sur le droit au recours des Européens dont les données seront transférées aux États-Unis.

La CJUE avait formulé deux objections majeures à l’encontre de tels transferts. Elle avait estimé que les programmes de surveillance « de masse » susceptibles d’être mis en œuvre par les services de renseignement des États-Unis (dont un programme PRISM) heurtaient les principes de nécessité et de proportionnalité. Elle avait aussi critiqué l’absence de droit à un recours effectif des citoyens européens en cas d’abus. Pour y remédier, la décision du 10 juillet consacre la moitié de ses 64 pages (le double avec les annexes) aux procédures encadrant le traitement de données par les autorités judiciaires et les services de renseignement états-uniens ainsi qu’aux recours possibles.

II – Un mécanisme de certification géré par le département du Commerce des États-Unis

La décision du 10 juillet 2023 se distingue notablement des douze précédentes décisions d’adéquation de la Commission européenne6. À titre d’exemple, la décision du 20 décembre 2001 concernant le Canada, prise en application de la directive de 1995 susvisée, se borne à évoquer sans grands détails les lois canadiennes en matière de protection des données personnelles jugées suffisamment protectrices. La décision prévoit principalement la suspension des transferts de données par les autorités compétentes des États membres au cas où une autorité canadienne constaterait le non-respect des normes de protection validées par la décision d’adéquation. Un autre exemple est celui de la décision du 23 janvier 2019 pour le Japon. Prise sous l’empire du RGPD, elle est sensiblement plus étoffée que les décisions plus anciennes. Elle exclut notamment expressément la collecte « massive et indifférenciée » de données, y compris lorsqu’elle a lieu pour des raisons de sécurité nationale. Toutefois, elle ne détaille pas le fonctionnement des services de sécurité et de renseignement comme le fait le DPF s’agissant des États-Unis. Les deux décisions du 28 juin 2021 concernant le Royaume-Uni de l’après-Brexit, l’une au titre du RGPD, l’autre au titre de la directive sur la protection des données dans le domaine répressif7, sont un peu plus explicites sur le fonctionnement des services de renseignement et notamment le droit de toute personne se croyant surveillée illégalement de saisir un tribunal spécialisé, l’Investigatory Powers Tribunal8, mais sans atteindre le niveau de détail du DPF.

Autre différence : le DPF institue un système de « certification ». Pour bénéficier d’un transfert libre de données, les entreprises états-uniennes devront s’engager à respecter les principes établis par le département du Commerce des États-Unis (DoC) figurant en annexe 1 de la décision d’adéquation. L’entité certifiée sera soumise au contrôle de la Federal Trade Commission (FTC)9 et du département des Transports (DoT)10 et devra faire renouveler chaque année sa certification.

Le DoC rendra publique la liste des entités certifiées qui, en cas de violation des règles du DPF, pourront se voir retirer leur certification.

Les transferts opérés librement en dehors de toute certification sont uniquement ceux destinés à des publications ou des émissions audiovisuelles ou encore ceux concernant des informations issues d’archives média. Outre ces dérogations – il faut le dire, limitées –, tous les transferts de données directement ou indirectement identifiantes (par exemple données pseudo-anonymisées) devront être couverts par la certification. En l’absence de précisions, la question se pose de l’application du système de certification aux données accessibles au public dont l’exploitation pourrait être soumise aux principes du RGPD. Le fait, en tout état de cause, d’imposer le respect des principes du RGPD en cas de transfert de données publiques est un changement radical par rapport aux lois états-uniennes qui les excluent de leur champ d’application11.

III – L’importation des principes du RGPD dans le DPF et une diversité de voies de recours

Le principal objet du DPF est de soumettre les transferts de données vers les États-Unis au respect des principes de base du RGPD, dont principalement :

• le Data Integrity and Purpose Limitation Principle suivant lequel seules les données « exactes, adéquates et nécessaires au regard de chaque finalité spécifique du traitement sont traitées » (RGPD, art. 5 (1) (b) ) ;

• le Data Accuracy, Minimisation and Security imposant de limiter les données « à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (art. 5. c).

Si l’on retrouve là les deux principes de nécessité et de proportionnalité au fondement de la légalité des restrictions aux libertés publiques, c’est qu’en Europe la protection des données personnelles est un droit fondamental (consacré à l’article 8 de la charte des droits fondamentaux de l’Union européenne)12. C’est ainsi la conception européenne qui prévaut dans le DPF alors qu’aux États-Unis, tant les lois de protection des données qui existent dans certains États (Californie, Colorado, Virginie) que les lois fédérales spéciales sur le droit à la Privacy sont, elles, orientées vers la protection des consommateurs (incluant les emprunteurs, patients, étudiants, etc.)13.

Il en résulte que la protection des données assurée par le DPF se décline en droits individuels découlant des principes suivants :

• le Choice Principle subordonne au consentement exprès de la personne la réutilisation de ses données « sensibles » pour une finalité autre que celle prévue lors de la collecte, le caractère sensible étant défini par le RGPD, i.e. données relatives à la santé, aux origines ethniques, aux opinions politiques, religieuses ou philosophiques, à l’appartenance syndicale, aux orientations sexuelles ;

• le Notice Principle oblige toute entité certifiée – si possible lors de la collecte – à indiquer à la personne concernée l’existence de la certification, le type de données collectées, la finalité de la collecte, les tiers auxquels les données seront transmises ainsi que les droits et les voies de recours offertes à la personne concernée ;

• l’Access Principle permet à toute personne concernée de demander sans motif particulier l’accès à ses données– sauf exception d’intérêt public – et d’obtenir des explications sur leur utilisation avec obligation pour l’entité de répondre dans un délai raisonnable. Ce droit d’accès est complété par un droit de rectification et d’effacement. Les personnes concernées peuvent aussi s’opposer à la réutilisation de leurs données et à la communication de celles-ci à un tiers. Le DPF indique ne pas traiter des décisions résultant d’un traitement informatique, renvoyant aux principes protecteurs des lois états-uniennes (protection du consommateur, de l’emprunteur, du patient, lois contre la discrimination, etc.) qui s’appliqueront dans cette hypothèse ;

• l’Accountability for Onward Transfer Principle garantit à la personne concernée que ses données ne seront transférées qu’à des tiers ou vers des pays offrant des garanties équivalentes à celles prévues par le DPF ;

• le Recourse, Enforcement and Liability Principle impose aux entités certifiées de s’assurer de la conformité de leurs pratiques en matière de Privacy (self-assessment, formation des employés, contrôles internes…) ; toute fausse déclaration tombant sous le coup du False Statement Act (18 U.S.C. § 1001) et pouvant être sanctionnée.

L’une des innovations majeures du DPF est de conférer aux citoyens européens un droit au recours aux États-Unis, ce qui n’était pas le cas aux termes des accords précédents. Ainsi, notamment :

• chaque entité certifiée doit disposer d’un mécanisme de gestion des réclamations, étant précisé que les investigations menées à la suite de ces plaintes sont gratuites pour le plaignant ;

• elle doit en outre mettre en place un dispositif de règlement des litiges aux États-Unis ou en Europe, selon son choix. Dans ce dernier cas, l’entreprise doit coopérer avec l’autorité nationale de protection des données dont relève le plaignant, cette coopération devenant obligatoire s’agissant des données relatives aux ressources humaines ;

• si l’entreprise ne se conforme pas aux préconisations de cette autorité, la personne concernée peut déposer plainte auprès du DoC ;

• les entreprises du secteur privé peuvent instituer des modes alternatifs de résolution des litiges.

Le plaignant a donc à sa disposition une gamme de recours possibles. Il peut déposer plainte au niveau de l’entreprise, auprès de son autorité nationale de protection des données dans l’UE (via un point de contact UE/États-Unis) ou encore au DoC ou à la FTC.

En ultime recours, il peut saisir un panel d’arbitres indépendants désignés d’un commun accord par le DoC et la Commission européenne pour leur intégrité et leur expertise ; la procédure arbitrale étant également définie conjointement par le DoC et la Commission. Le panel peut enjoindre à l’entité fautive de remédier à l’irrégularité constatée.

Le plaignant peut aussi saisir une juridiction états-unienne en vue d’obtenir des dommages et intérêts sur le fondement de la législation des États-Unis (droit de la responsabilité civile, protection du consommateur, etc.).

IV – La conformité des garanties offertes par la procédure pénale des États-Unis

Le DPF consacre de longs développements aux garanties de la procédure pénale états-unienne qui permet, sous le contrôle d’un juge, d’accéder à des données personnelles. Ainsi est-il rappelé que seul un juge peut, sur demande d’un procureur, ordonner des perquisitions ou saisies si les faits suspectés ont un certain degré de probabilité (probable cause). Des mandats de justice peuvent aussi être délivrés en cas de suspicion d’une infraction grave. Comme en France14, les autorités publiques états-uniennes peuvent exercer leur droit de communication. L’intervention d’un juge est en revanche requise pour ordonner la collecte en temps réel de données de connexion auprès d’opérateurs de communications électroniques ou, si nécessaire, des écoutes téléphoniques.

Le DPF décrit les contrôles administratifs dont font l’objet les autorités dotées de pouvoirs répressifs aux États-Unis. Il mentionne en particulier la présence de Privacy and Civil Liberties Officers (PCLO) au sein de chaque agence et le rôle de l’inspecteur général chargé de contrôler tous les agents du département de la Justice (DoJ), y compris ceux du Federal Bureau of Investigations (FBI). Une agence indépendante, composée de manière bipartisane par des personnalités nommées avec l’approbation du Sénat, est chargée de contrôler les agents du contre-terrorisme. Plus généralement, les autorités judiciaires états-uniennes doivent répondre de leurs activités devant les Judiciary Committees de la Chambre des représentants et du Sénat.

Enfin, le DPF énumère les diverses possibilités de recours en justice ainsi que les garanties offertes par le Freedom of Information Act (FOIA) sur le droit d’accès aux documents administratifs.

V – Les garanties des procédures que doivent respecter les services à des fins de sécurité nationale

Les passages les plus importants (un tiers de la décision) et les plus détaillés de la décision d’adéquation sont ceux consacrés au fonctionnement et aux pratiques des services de renseignement états-uniens. Tenant compte du scandale provoqué en 2013 par les révélations d’Edward Snowden15, un ancien agent de la National Security Agency (NSA) qui en avait dénoncé les programmes de surveillance de masse16, la CJUE avait estimé, dans les arrêts Schrems précités, que ces programmes violaient l’impératif de proportionnalité car ils n’étaient pas limités « au strict nécessaire ». Elle avait relevé que, en outre, les citoyens européens n’avaient pas de droits opposables aux autorités états-uniennes devant les juridictions des États-Unis.

C’est à cette double objection qu’entend répondre la décision d’adéquation du 10 juillet 2023 en perspective d’un troisième recours annoncé par Maximillian Schrems, devenu requérant d’habitude, au lendemain de la publication de la décision de la Commission.

Comme le prévoit en effet le considérant 104 du RGPD à propos de l’appréciation par la Commission européenne de l’adéquation d’un pays tiers, « eu égard aux valeurs fondamentales sur lesquelles est fondée l’Union, en particulier la protection des droits de l’Homme, la Commission devrait, dans son évaluation d’un pays tiers, d’un territoire ou d’un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l’état de droit, garantit l’accès à la justice et observe les règles et normes internationales dans le domaine des droits de l’Homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l’ordre public et le droit pénal ».

À titre incident, on notera que ce considérant est en contraste avec le considérant 16, indiquant que le RGPD « ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale ». Par là, il est clairement fait écho à l’article 4 du Traité sur l’Union européenne (TUE) qui ménage la compétence exclusive des États membres en matière de sécurité nationale. En consacrant le respect par l’UE des « identités nationales », l’article 4 du TUE dispose en effet que « la sécurité nationale reste de la seule responsabilité de chaque État membre ». Or cette distinction entre le contrôle du fonctionnement des services de renseignement étrangers dans le cadre de l’appréciation de l’adéquation d’un pays tiers et la préservation de la compétence des États membres sur leurs propres services n’est pas même respectée par la CJUE, comme en témoignent par exemple l’arrêt Tele2 Sverige du 21 décembre 201617, ainsi que, surtout, l’arrêt Quadrature du Net du 6 octobre 202018. Contrairement à l’article 4, faisant prévaloir le droit individuel à la vie privée, l’arrêt du 6 octobre 2020 limite considérablement la possibilité pour les services de renseignement des États membres d’enjoindre aux fournisseurs de services de communications électroniques de conserver des données de connexion, voire de recourir à l’analyse automatisée de ces données19.

Quoi qu’il en soit, c’est dans le droit fil de la jurisprudence de la CJUE que la décision de la Commission européenne multiplie les détails sur le fonctionnement des services états-uniens et les contrôles auxquels ils sont soumis. Elle rappelle d’abord les bases légales de leurs compétences en matière de renseignement étranger, dont principalement deux Executive Orders du président des États-Unis – l’EO 12333 dans sa version amendée le 30 juillet 2008 et l’EO 14086 du 7 octobre 2022 – ainsi qu’une loi – le Foreign Intelligence Surveillance Act (FISA), section 702.

Selon ces textes, la collecte des données, notamment des signals intelligence (renseignements électromagnétiques20) est autorisée par le président des États-Unis si aucune autre méthode n’est envisageable, en vue de finalités limitativement énumérées (par exemple des menaces militaires ou dues au changement climatique) et sous la condition d’être proportionnée. Une collecte de données indifférenciée (bulk collection) n’est possible que s’il s’avère qu’une surveillance ciblée est impossible ou serait inefficace. L’utilisation des données ainsi collectées est en outre soumise à des limitations.

L’accès aux données d’opérateurs de communications électroniques états-uniens ayant des établissements dans l’UE est subordonné à l’obtention par l’Attorney Général d’une certification délivrée par une cour spécialisée – la Foreign Intelligence Surveillance Court (FISC). Ses décisions peuvent être frappées d’appel devant la Foreign Intelligence Surveillance Court of Review (FISCR).

La certification délivrée par la FISC précise les finalités de la demande d’accès aux données et rappelle l’impératif de minimisation de leur collecte ; la NSA ayant pour mission de déterminer les individus qui sont à surveiller. La décision décrit de façon détaillée les modes d’action de la NSA et leurs contrôles et comment certaines agences peuvent être autorisées par la FISC à procéder à des perquisitions ou saisies. La FISC (ou un autre juge) peut aussi autoriser la saisie de documents de transport.

La FISC peut enfin retirer sa certification à une agence. À titre alternatif, elle peut adresser au gouvernement des Deficiency Orders, i.e. lui enjoindre de remédier aux insuffisances d’une certification.

De nombreuses indications sont données sur les contrôles qui pèsent sur les agences de renseignement états-uniennes. En interne, ces contrôles sont menés par les PCLO désignés dans chaque agence où une procédure de gestion des plaintes doit avoir été mise en place. Les PCLO font régulièrement état au Congrès des plaintes reçues et de leurs conséquences sur les agences. Chaque agence est en outre dotée d’un inspecteur général qui fait également un rapport au Congrès du résultat de ses investigations et le rend public. Le President’s Intelligence Advisory Board (PIAB), qui conseille le président des États-Unis, comporte également une instance de contrôle – l’Intelligence Oversight Board (IOB) – qui veille à la régularité des pratiques des agences de renseignement. Des contrôles sont aussi effectués par le Privacy and Civil Liberties Oversight Board (PCLOB), une autorité indépendante, compétente en matière de contre-terrorisme, formée de manière bipartisane par cinq membres dont la nomination doit être entérinée par le Sénat. Enfin, les services états-uniens sont soumis au contrôle de deux comités du Congrès, les House and Senate Intelligence and Judiciary Committees.

Les activités des agences, en vertu de la décision du 10 juillet, pourront désormais être contestées par tout Européen devant diverses instances. À cet effet, l’UE et les trois États de l’EEE sont désignés comme « États qualifiés ». Les personnes concernées en Europe devront d’abord se tourner vers leur autorité nationale de protection des données, laquelle transmettra leur plainte aux États-Unis. Une investigation sera d’abord menée par le Civil Liberties Protection Officer of the Director of National Intelligence (ODNI CLPO) qui, en cas de violation des principes du DPF, fera un rapport à l’Attorney General adjoint chargé de la sécurité nationale, lequel fera lui-même un rapport à la FISC. C’est cette cour qui décidera s’il y a eu violation du droit à la vie privée de l’intéressé. In fine, le plaignant sera informé soit qu’aucune violation n’a été constatée, soit au contraire qu’elle l’a été et qu’il y a été remédié.

Le plaignant pourra se pourvoir devant la Data Protection Review Court (DPRC) nouvellement créée, et qui constitue l’une des innovations majeures du DPF. Il appartiendra à son autorité nationale de protection des données de l’aviser de la suite donnée et si la décision de la FISC a été ou non confirmée par cette nouvelle cour. Ce système peut être comparé, toutes proportions gardées, au système français de la loi du 24 juillet 201521 qui a instauré un droit de recours devant le Conseil d’État. Ainsi, en France, toute personne voulant vérifier qu’elle ne fait pas l’objet d’une technique irrégulière de renseignement peut saisir, non pas une juridiction comme la FISC, mais une instance administrative indépendante, la Commission de contrôle des techniques de renseignement. Au second degré, le réclamant peut présenter une requête devant une formation spécialisée du Conseil d’État devant qui il est entendu de manière séparée, eu égard aux impératifs du secret-défense22.

S’agissant des services états-uniens, tout Européen ayant subi un préjudice, du fait de l’utilisation ou de la publication illégale d’informations le concernant, pourra en demander réparation devant les juridictions des États-Unis23.

VI – Les clarifications apportées par le Comité européen de protection des données (CEPD)

Dès le 18 juillet, le CEPD a publié une note d’information précisant certains points du DPF.

Le comité rappelle que les entreprises qui n’adhéreront pas au système de certification ou qui se verront refuser une certification devront continuer de suivre les procédures exigées pour tout transfert vers un pays tiers en non-adéquation, à savoir les « Clauses Contractuelles »24 ou les « Règles d’Entreprise Contraignantes »25. Encore, précise le comité, ces procédures ne suffisent-elles pas à assurer la conformité des transferts au RGPD dont il convient de respecter les règles substantielles. C’est parce que Meta n’a pas respecté ces règles protectrices, s’agissant même de données transférées aux États-Unis sur la base des « Clauses Contractuelles » précitées, qu’elle s’est vue infligée par la Commission de protection des données irlandaise le 12 mai 202326 une amende record de 1,2 milliard d’euros27.

Le CEPD met en outre l’accent sur les nouvelles possibilités de recours devant la DPRC, dont la création est au cœur des engagements pris par le gouvernement des États-Unis dans le cadre du DPF. Le CEPD demande que la plainte de la personne concernée auprès de son autorité nationale de protection des données (la CNIL en France) à acheminer vers les autorités états-uniennes lui soit transmise pour qu’elle la fasse suivre auxdites autorités. Le CEPD rappelle par ailleurs l’engagement pris par la Commission européenne de conduire une revue annuelle de l’application du DPF pour vérifier s’il est pleinement et en tous points respecté28.

Compte tenu de ces précautions multiples, et en dépit de l’annonce, comme indiqué plus haut, d’un troisième recours par renvoi préjudiciel devant la CJUE, on peut penser que le feuilleton des accords passés entre l’UE et les États-Unis sur les transferts de données personnelles devrait trouver sa fin. Ce serait une bonne chose dans le contexte de la montée du terrorisme islamique en Afrique, de la guerre en Ukraine et des nécessités d’une coopération particulièrement étroite entre services de part et d’autre de l’Atlantique.

Notes de bas de pages

  • 1.
    PE et Cons. UE, règl. n° 2016/679, 27 avr. 2016, entré en vigueur le 25 mai 2018.
  • 2.
    À défaut de décision d’adéquation concernant un pays tiers, les transferts de données vers ce pays sont soumis à des procédures particulières, à savoir les « Clauses Contractuelles » à signer au cas par cas, transfert par transfert (RGPD, art. 28), ou les « Règles Contraignantes d’Entreprise » (RGPD, art. 47) applicable uniquement dans le périmètre du groupe.
  • 3.
    Les trois États de l’EEE sont l’Islande, le Lichtenstein et la Norvège.
  • 4.
    CJUE, 6 oct. 2015, n° C-362/14, Maximillian Schrems c/ Data Protection Commissioner (Schrems I).
  • 5.
    CJUE, 16 juill. 2020, n° C-311/18, Data Protection Commissionner c/ Facebook Ireland Limited and Maximillian Schrems (Schrems II).
  • 6.
    Les pays tiers en adéquation sont à ce jour Andorre, l’Argentine, Israël, le Japon, les Îles Féroé, la Nouvelle-Zélande, la Suisse et l’Uruguay, des territoires britanniques comme Jersey, Guernesey et l’Île de Man ainsi que le Royaume-Uni depuis le Brexit.
  • 7.
    PE et Cons. UE, dir. n° 2016/680, 27 avr. 2016, sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel par la police et par les autorités judiciaires en matière pénale, et à la libre circulation de ces données.
  • 8.
    Commission européenne, communiqué de Presse, 28 juin 2021, « Data protection : Commission adopts adequacy decisions for the UK ».
  • 9.
    La FTC est une agence gouvernementale indépendante composée de cinq membres. Elle a compétence vis-à-vis des entreprises du secteur économique, sauf celles des secteurs financiers, du transport aérien ou des services de télécommunications. Sur la base du Privacy Shield (lorsqu’il était applicable), la FTC a déjà eu l’occasion d’intenter des poursuites et de sanctionner les entités qui contrevenaient aux principes issus du RGPD repris dans cet accord.
  • 10.
    Le département des Transports a compétence dans le secteur du transport aérien. Il a un rôle de médiation en cas de violations de la vie privée par les entités du secteur. À défaut de parvenir à un compromis dans un cas particulier, l’affaire est confiée à un juge administratif spécialisé.
  • 11.
    C’est le cas du Consumer Privacy Act de Californie (CCPA) qui distingue les données rendues publiques par l’Administration des données accessibles au public.
  • 12.
    Selon cet article : « Toute personne a droit à la protection des données à caractère personnel la concernant ».
  • 13.
    V. not. les lois fédérales suivantes : le Health Insurance Portability and Accountability Act (HIPAA), le Fair Credit Reporting Act (FCRA), le Family Educational Rights and Privacy Act (FERPA), le Gramm-Leach-Bliley Act (GLBA), l’Electronic Communications Privacy Act (ECPA), le Children’s Online Privacy Protection Rule (COPPA), le Video Privacy Protection Act (VPPA), le Federal Trade Commission Act (FTC Act).
  • 14.
    Ce droit est reconnu dans le cadre de leurs investigations à l’administration fiscale, à l’Autorité des marchés financiers, à l’Autorité de contrôle prudentiel et de résolution, l’Autorité de la concurrence, de la CNIL, etc.
  • 15.
    Désormais citoyen russe, Snowden a prêté serment d’allégeance à Vladimir Poutine en décembre 2022.
  • 16.
    Cette dénonciation a conduit une cour d’appel fédérale à juger illégaux certains programmes de collecte de métadonnées téléphoniques. V. l’arrêt United States of America c/ Moalin, 2 sept. 2020, No. 13-50572 D.C. No. 3 :10-cr-04246-JM-1.
  • 17.
    Dans l’affaire Tele2 Sverige AB et Secretary of State for the Home Department c/ Tom Watson, (CJUE, 21 déc. 2016, n° C-203/15 et C-698/15), elle a jugé que même dans le but de sauvegarder l’ordre public, les États membres ne pouvaient imposer une obligation générale, y compris pendant une durée limitée, de conservation des données aux fournisseurs de services de communications électroniques. Cette jurisprudence a fait, à bon droit, l’objet de critiques de la part du vice-président du Conseil d’État dans une intervention du 6 avril 2018, https://lext.so/FGM1Wr.
  • 18.
    Dans l’affaire Quadrature du Net (aff. jointes CJUE, 6 oct. 2020, n° C-511/18, C-512/18 et C-520/18) concernant la mise en cause par des ONG de la conformité au droit de l’Union et de la Convention européenne des droits de l’Homme de règles françaises et belges permettant aux services de renseignement de demander aux opérateurs de communications électroniques la conservation « généralisée et indifférenciée » de données, la Cour relève – sans en tenir compte – les objections des États membres quant à leur compétence en matière de sauvegarde de la sécurité nationale.
  • 19.
    Cette jurisprudence, que l’on peut juger contestable, a conduit le Conseil d’État (CE, 21 avr. 2021, n° 393099) à des contorsions pour respecter les exigences constitutionnelles de lutte contre la criminalité grave.
  • 20.
    Sur la notion de renseignement électromagnétique, voir le bulletin paru en juillet 2017 (n° 20) du Centre français de recherche sur le renseignement (accessible sur internet) ainsi que les indications données par la direction générale de l’Armement.
  • 21.
    L. n° 2015-912, 24 juill. 2015, relative au renseignement.
  • 22.
    https://lext.so/4YnFh5.
  • 23.
    À noter que dans son arrêt Österreichische Post (CJUE, 4 mai 2023, n° C-300/21), la CJUE a énoncé les conditions du droit à réparation pour préjudice subi du fait d’une violation du RGPD en laissant aux États membres le soin de fixer les critères permettant de déterminer l’étendue de la réparation.
  • 24.
    Prévues par l’article 46 du RGPD, ces clauses issues de modèles types adoptés par la Commission européenne sont des contrats de transferts de données vers des pays tiers comportant l’engagement du destinataire d’assurer une protection équivalente à celle du RGPD.
  • 25.
    Prévues par l’article 47 du RGPD, les règles d’entreprise contraignantes sont des règles internes à un groupe implanté dans divers pays, dont des pays non en adéquation, qui validées par l’autorité de protection des données compétente après avis du CEPD pour être conformes au RGPD, permettent la libre circulation des données personnelles au sein dudit groupe.
  • 26.
    https://lext.so/wGna6v.
  • 27.
    Selon cet article, « en l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ». Cette décision faisait suite à une décision du 13 avril du CEPD saisi pour arbitrer entre les vues divergentes de l’autorité irlandaise et ses homologues d’autres États membres, https://lext.so/FYplsO.
  • 28.
    Soit un rythme plus rapide que pour les autres pays tiers. Par exemple, la Commission européenne a publié son premier rapport de revue de l’application de la décision d’adéquation du 23 janvier 2019 concernant le Japon le 3 avril 2023 (en anglais non encore traduit SWD(2023) 75 final).
Plan