Lexique IT
Executive Order 12333
L’Executive Order 12333 (ou E.O. 12333) est un décret exécutif du Président des Etats-Unis définissant les objectifs, rôles et responsabilités des agences de renseignement des Etats-Unis.
Progressivement renforcé depuis son entrée en vigueur en 1981, en attribuant ainsi de nouveaux pouvoirs et compétences aux agences de renseignement telles que la National Security Agency, l’Executive Order 12333 et le Foreign Intelligence Surveillance Act (FISA 702) sont à l’origine de l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne en 2020.
L’Executive Order 12333 permet en particulier aux agences de renseignement des Etats-Unis de collecter et analyser l’ensemble des données, y compris les données à caractère personnel, en transit vers les Etat-Unis, notamment à partir des câbles sous-marins permettant le transfert d’information entre l’Europe et les Etats-Unis, à des fins de sécurité nationale.
L’utilisation faite de ces informations par les agences de renseignement ne fait toutefois l’objet d’aucune surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels par les personnes dont les données sont interceptées.
Afin de limiter les risques d’interception et d’utilisation des informations en transit vers les Etats-Unis, au titre de l’Executive Order 12333, il est recommandé de mettre en œuvre des mesures de sécurité techniques permettant le chiffrement de bout en bout des données transférées et ainsi assurer la confidentialité des informations.
En tout état de cause, l’Executive Order 12333 n’est pas compatible avec le droit de l’Union européenne, et notamment avec le RGPD car ne correspondant pas aux exigences minimales attachées au principe de proportionnalité, mais également avec la Charte des droits fondamentaux de l’Union européenne qui consacre le droit à un recours effectif et à accéder à un tribunal impartial.
Point législation
« Les services de renseignement des États-Unis fourniront au Président, au Conseil de sécurité nationale et au Conseil de sécurité intérieure les informations nécessaires sur lesquelles fonder les décisions concernant le développement et la mise en œuvre des politiques étrangères de sécurité, de défense et d’économie ainsi que la protection des intérêts nationaux des États-Unis contre les menaces étrangères. Tous les départements et agences doivent coopérer pleinement pour atteindre cet objectif. »
Article 1.1 de l’Executive Order 12333
Point jurisprudence
La Cour de Justice de l’Union Européenne (CJUE) a pu relever qu’« en ce qui concerne l’E.O. 12333, la juridiction de renvoi constate que celui-ci permet à la NSA d’accéder à des données « en transit » vers les États-Unis, en accédant aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données avant qu’elles arrivent aux États-Unis et y soient soumises aux dispositions du FISA. Elle précise que les activités fondées sur l’E.O. 12333 ne sont pas régies par la loi. (…)
Par ailleurs, selon les constatations de cette juridiction, les activités de la NSA fondées sur l’E.O. 12333 ne font pas l’objet d’une surveillance judiciaire et ne sont pas susceptibles de recours juridictionnels. (…)
Or, cette possibilité, qui permet, dans le cadre des programmes de surveillance fondés sur l’E.O. 12333, d’accéder à des données en transit vers les États-Unis sans que cet accès fasse l’objet d’une quelconque surveillance judiciaire, n’encadre, en tout état de cause, pas de manière suffisamment claire et précise la portée d’une telle collecte en vrac de données à caractère personnel. »
Cour de Justice de l’Union Européenne, 16 juillet 2020, N° C‑311/18
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.