L'Union européenne adopte un nouveau cadre sur le transfert de données aux Etats-Unis
Le texte prend la suite du Privacy Shield, invalidé en 2020 par la justice européenne. S'il devrait lui aussi être contesté, il met fin, au moins temporairement, à un flou juridique.
La troisième tentative sera-t-elle la bonne ? Lundi 10 février, l’Union européenne a officiellement adopté un nouveau cadre juridique sur le transfert de données vers les Etats-Unis, assurant avoir obtenu des garanties sur la protection des données personnelles des citoyens européens.
Au cœur de longues négociations entre Bruxelles et Washington, cet accord, baptisé Data Privacy Framework, succède au Privacy Shield, qui avait été invalidé en 2020 par la Cour de justice de l’Union européenne. Celle-ci avait estimé que le texte ne pouvait garantir un niveau de protection suffisant, conforme aux exigences du Règlement générale sur la protection des données (RGPD), une fois les données envoyées aux Etats-Unis.
Adopté en 2016, le Privacy Shield avait pris la suite de l’accord Safe Harbour, entré en vigueur en 2000 mais lui aussi invalidé par la justice européenne en 2015. Les deux cadres réglementaires se sont heurtés à plusieurs législations américaines, qui permettent aux autorités et aux services de surveillance de mettre la main sur des données personnelles sans supervision, ni autorisation judiciaire.
"De la folie"
Les deux textes avaient été contestés par l’association Noyb (“none of your business”), menée par l’activiste autrichien Max Schrems, qui annonce déjà son intention de saisir la justice européenne. "La définition de la folie est de faire la même chose encore et encore en espérant un résultat différent. Tout comme le Privacy Shield, le dernier accord ne repose pas sur des changements matériels, mais sur des intérêts politiques”, s’emporte Max Schrems.
“Simplement annoncer que quelque chose est ‘nouveau’, ‘solide’ ou ‘efficace’ ne suffit pas devant la Cour de justice. Il aurait fallu des modifications de la législation américaine sur la surveillance pour que cela fonctionne - et nous ne les avons tout simplement pas”, poursuit l’activiste, qui estime que la Commission européenne ne fait que repousser le problème, tout en perdant tout levier pour réclamer des changements aux Etats-Unis.
Bruxelles assure avoir obtenu plusieurs garde-fous de la part de Washington. Une nouvelle Cour d'examen de la protection des données, sous tutelle du ministère de la Justice américain, sera mise en place. Elle pourra être saisie en cas de litige par les citoyens européens. Les États-Unis se sont aussi engagés à limiter l’accès aux données européennes par leurs autorités à ce qui est "nécessaire" et de manière "proportionnée", reprenant la sémantique de la législation européenne en la matière.
Flou juridique
En attendant un examen - et une potentielle invalidation - par la justice européenne, le Data Privacy Framework met fin à une incertitude juridique pour de nombreuses entreprises. En 2020, la Cour de justice avait bien autorisé un autre mécanisme juridique, appelé clauses contractuelles, pour poursuivre le transfert de données vers les Etats-Unis. Mais elle avait également réclamé que celui-ci offre un haut niveau de garanties.
Depuis, le Comité européen de la protection des données a jugé que les mécanismes mis en place par Facebook n’étaient pas suffisants dans le cadre du RGPD. Il a donc contraint la Cnil irlandaise, la DPC, à sanctionner lourdement le réseau social, qui s’est vu infligé en juin une amende record de 1,2 milliard d’euros.
SUR LE MÊME SUJET
L'Union européenne adopte un nouveau cadre sur le transfert de données aux Etats-Unis
Tous les champs sont obligatoires
0Commentaire
Réagir