Transfert de données UE-US : la contre-offensive se prépare déja
Le président américain Joe Biden a dévoilé vendredi 7 octobre les bases du nouveau cadre de transfert des données personnelles avec l’Union européenne, qui succède au Privacy Shield. Si ce nouveau texte doit mettre fin au flou juridique entourant les flux de "data" entre les deux continents, la décision d’adéquation que Bruxelles doit encore formaliser devrait donner lieu à une nouvelle bataille juridique devant la justice européenne.
© Twitter @vonderleyen
Plus de six mois après avoir annoncé qu'ils avaient trouvé un accord de principe avec Bruxelles, les États-Unis passent à l’action sur le sujet très sensible du transfert transatlantique des données personnelles. Joe Biden a dévoilé vendredi dernier un nouveau décret exécutif, censé servir de base à la future décision d’adéquation prise par l’UE. Elle devra garantir un niveau de protection des données personnelles au moins équivalent à celui des 27 et permettra leur libre circulation entre les deux continents, conformément au RGPD.
L’annonce était très attendue alors même que les deux précédents cadres, le "Safe Harbor" et le "Privacy Shield", avaient été invalidés par la justice européenne. La CJUE avait notamment estimé, en juillet 2020, qu’il y avait un risque que les services de renseignement américains accèdent aux données personnelles hébergées sur les serveurs des entreprises nationales, peu importe leur localisation, en raison de l’extraterritorialité de certaines de ses lois.
Cette décision de justice, "Schrems II", avait conduit la Cnil, ainsi que certaines de ses homologues européennes, à juger l’utilisation de Google Analytics illégale. L’invalidation du précédent régime avait même poussé Meta à laisser planer la menace d’un retrait de ses services dans l’UE.
Face au risque d’un "Schrems III", l’administration américaine a mis en avant plusieurs garde-fous. Elle introduit tout d’abord une nouvelle Cour d'examen de la protection des données, sous tutelle du ministère de la Justice américain, et que les citoyens européens pourront saisir en cas de litige. Les États-Unis s’engagent également à limiter l’accès aux données des Européens par leurs autorités à ce qui est "nécessaire" et de manière "proportionnée", reprenant la sémantique de la législation européenne en la matière.
Jamais deux sans trois ?
Ces garanties apportées par Washington ne semblent pour autant pas rassurer l’activiste autrichien Max Schrems, à l’origine des précédents recours contre les décisions d’adéquation US-UE. "L'UE et les États-Unis sont désormais d'accord sur l'utilisation du mot 'proportionné' mais semblent en désaccord sur sa signification", a-t-il déclaré, accusant la Commission européenne de "fermer à nouveau les yeux sur la loi américaine, pour permettre de continuer à espionner les Européens".
"À première vue, il semble que les questions essentielles n'ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE", a-t-il ajouté, précisant que son organisation, noyb, saisira "probablement" la plus haute juridiction européenne. Et Max Schrems n’est pas le seul à douter de la viabilité de la décision d’adéquation à venir.
"Même si les autorités américaines tentent de combler les lacunes du Privacy Shield initial, le fait est que l'UE et les États-Unis ont toujours une approche différente de la protection des données qui ne peut être gommée par un décret", a déclaré Ursula Pachl, la directrice générale adjointe du Bureau européen des unions de consommateurs (BEUC).
Un "pas dans la bonne direction"
Même son de cloche de l’autre côté de l’Atlantique. S’il s’agit d’un "pas dans la bonne direction", le décret du président Biden continuera de "mettre en péril" les transferts de données UE-États-Unis, faute de réforme en profondeur du système américain selon l’Union américaine pour les libertés civiles (ACLU).
La Commission européenne doit maintenant étudier ce nouveau cadre législatif, rédiger une décision d’adéquation puis la soumettre à l’aval des États membres. Bruxelles semble avoir bon espoir que cette fois-ci soit la bonne, mettant en avant les "garanties incluses dans le décret, tant en ce qui concerne la limitation substantielle de l'accès des autorités de sécurité nationale américaines aux données (nécessité et proportionnalité) que la mise en place du nouveau mécanisme de recours".
Sélectionné pour vous
