Depuis l’arrêt de la Cour de justice de l’Union Européenne du 16 juillet 2022 dans l’affaire « Schrems II [1] », les transferts de données personnelles entrepris depuis l’UE présentent, malgré les éclaircissements du Comité européen de la protection des données [2], des difficultés notables pour de très nombreux responsables de traitement.
A l’occasion d’une visite du Président américain Joe Biden à Bruxelles le 25 mars dernier, la Commission européenne et la Maison blanche annonçaient un accord politique sur la question des transferts [3]. Cet « accord de principe », dépourvu de toute valeur juridique, pouvait présager d’une accélération des négociations et de l’adoption rapide d’une nouvelle décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du RGPD.
De son côté, la présidence américaine annonçait qu’elle s’était engagée à limiter les activités de renseignement mise en cause par la CJUE à un niveau « nécessaire et proportionné aux objectifs de sécurité nationale » ainsi qu’à créer un nouveau « système de recours à disposition des européens s’estimant espionnés à tort » [4].
Dans une déclaration adoptée le 6 avril 2022, le Comité européen de la protection des données rappelle que si de telles annonces se traduisent effectivement par la finalisation d’un projet d’instrument, le CEPD devra fournir son analyse à la Commission [5]. Les membres du Comité précisent par ailleurs qu’il devrait s’agir essentiellement d’une étude des « réponses juridiques concrètes » aux questions soulevées par la Cour de justice le 16 juillet 2020. Ils estiment qu’un accord n’est souhaitable que s’il améliore sensiblement la situation des responsables de traitement concernés, particulièrement en matière de sécurité juridique. En effet, un tel objectif sera difficilement atteignable si la Commission s’affranchit de la jurisprudence pertinente et prend le risque d’une nouvelle bataille judiciaire.
A cet égard, le CEPD précise qu’il sera particulièrement attentif au caractère « strictement nécessaire et proportionné » de la collecte de données personnelles réalisée par les services de renseignement américains, alors que la CJUE s’est à plusieurs reprises opposée à la « collecte de masse » indifférenciée et généralisée [6].
En ce qui concerne les voies de recours qui devront être ouvertes aux personnes concernées, le caractère indépendant de la juridiction chargée de les recevoir, ainsi que le caractère obligatoire ou facultatif de ses décisions au regard des agences américaines joueront un rôle majeur dans l’analyse du CEPD. Pour que l’accord soit effectivement regardé comme se conformant au droit européen, les mécanismes prévus devront satisfaire aux exigences des articles 6 et 13 de la CEDH, sur le droit au procès équitable et le droit au recours effectif.
Récemment entendu sur le sujet, Didier Reynders, le Commissaire européen à la justice, estimait qu’un accord formel pouvait être conclu d’ici à la fin de l’année 2022.
[1] CJUE (grande chambre), 16 juillet 2020, affaire C‑311/18.
[2] Recommandations 01/2020 du Comité européen de la protection des données sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE.
[3] Commission européenne, communiqué de presse, « Déclaration commune sur le cadre transatlantique de protection des données personnelles », 25 mars 2022.
[4] « United States and European Commission Announce Trans-Atlantic Data Privacy Framework », The White House briefing room, déclarations et communiqués de presse, 25 mars 2022.
[5] Article 70(1)(s) du RGPD.
[6] CJUE, (grande chambre), 6 octobre 2020, affaire C-623/17.