C’était un document très attendu. Mardi, la Commission européenne a présenté son projet de décision concernant le futur régime de transfert de données entre les États-Unis et l’UE, à la suite des engagements pris par le président américain Joe Biden dans un décret publié le 7 octobre dernier.



Une décision d’adéquation est censée garantir qu’un pays tiers propose un niveau équivalent de protection des données personnelles aux règles européennes en la matière, à savoir le RGPD, et permet ainsi une libre circulation entre les deux partis. Sans ça, les entreprises non européennes doivent individuellement intégrer des clauses contractuelles types pour traiter les données personnelles des Européennes et adopter des mesures supplémentaires pour se mettre au niveau des 27.

Vers une libre circulation des données

Mais les entreprises américaines devraient pouvoir bientôt s’affranchir de ces formalités avec l’arrivée de ce nouvel accord. Les deux précédents régimes, le "Safe Harbor" et le "Privacy Shield", avaient été invalidés par la Cour de justice de l’UE, notamment en raison d’un accès aux données hébergées par les entreprises américaines jugé trop facile par les services de renseignement américains.



Cette annulation avait conduit, par exemple, les autorités de protection de données, dont la Cnil en France, à juger illégale l’utilisation de Google Analytics, faute de mesures supplémentaires suffisantes pour garantir la protection des données des Européens.



“Notre analyse a montré que des garanties solides sont désormais en place aux États-Unis pour permettre les transferts en toute sécurité de données à caractère personnel de part et d’autre de l’Atlantique”, s’est félicité le commissaire à la Justice, Dider Reynders tandis que la commissaire aux Valeurs et à la Transparence, Véra Jourová, s’est réjouie d’un nouveau cadre “bénéfique pour les entreprises et [qui] renforcera la coopération transatlantique”.

L’opposition se tient prête

Mais les défenseurs de la vie privée, dont l’activiste autrichien Max Schrems à l’origine des deux précédentes annulations d’un accord, ne se satisfont pas des nouvelles garanties supposément apportées par Washington.



“Les changements dans la législation américaine semblent plutôt minimes. Certains amendements, tels que l’introduction du principe de proportionnalité ou la création d’un tribunal [permettant aux Européens de déposer un recours, NDLR], semblent prometteurs, mais un examen plus approfondi montre que le décret est à la fois trop et pas assez performant en ce qui concerne la protection des personnes non américaines”, note son organisation, Noyb, qui juge “évident” que ces nouvelles règles ne conviendront pas à la Cour de justice de l’UE si elle devait être de nouveau saisie.



Une possibilité qui se dessine déjà. “Nous analyserons le projet de décision en détail dans les prochains jours. Comme le projet de décision est basé sur l’ordre exécutif en question, je ne vois pas comment il pourrait survivre à une procédure devant la Cour de justice”, a fait savoir Max Schrems.

Sept ou huit chances sur dix de passer

Et la Commission européenne ne semble pas entièrement convaincue non plus, en dépit de l’optimisme affiché. Didier Reyners a confié à un journaliste du média spécialisé Politico qu’il donnait à ce nouveau pacte “sept ou huit chances sur 10” de résister à une action judiciaire.



Du côté de l’industrie américaine, l’heure est aux réjouissances. “Le gouvernement américain a pris des mesures sans précédent pour protéger la vie privée des Européens dans des cas où sa propre sécurité nationale est en jeu. Nous exhortons les États membres de l’UE à approuver sans délai la décision d’adéquation et à rétablir la sécurité juridique pour les entreprises des deux côtés de l’Atlantique”, a déclaré Alexandre Roure, directeur de la politique publique de CCIA Europe, qui réunit les Big tech comme Amazon, Apple, Google et Meta.



Il reste encore un peu de chemin à faire avant que cette décision entre en vigueur, et ne puisse potentiellement être contestée devant la justice. Il appartient désormais au Comité européen de protection des données (EDPB), qui réunit les Cnils européennes, de soumettre son avis, non contraignant. La Commission européenne doit également recueillir l’approbation des États membres et le Parlement européen dispose d’un droit de regard. La décision finale n’est pas attendue avant le printemps 2023.