Le président américain Joe Biden a signé vendredi un décret visant à apporter aux Européens des garanties pour le transfert de leurs données personnelles de l’UE vers les Etats-Unis dans un nouveau cadre juridique, indispensable à l’économie numérique. Le commissaire européen à la justice, Didier Reynders, a immédiatement déclaré qu’il s’agissait d’une « étape importante ». Les géants de la technologie ont également salué une telle mesure.
Côté UE, la décision pourrait intervenir « au printemps prochain », selon un responsable européen, estimant que les nouvelles dispositions américaines apportent des « améliorations significatives » pour garantir la protection de la vie privée. Les deux précédents systèmes mis en place pour permettre aux entreprises de transférer des données de ressortissants européens vers les États-Unis pour y être traitées ou conservées ont été invalidés par la justice européenne en raison des craintes sur les programmes de surveillance américains.
Max Schrems, un avocat autrichien et militant de la vie privée dont les appels ont conduit aux deux arrêts de la Cour de justice de l’UE, a déclaré qu’il y avait « 90% de chances » que son ONG intente une nouvelle action en justice contre le futur mécanisme.
Création d’un mécanisme indépendant et contraignant
En mars, Joe Biden et la présidente de la Commission européenne, Ursula von der Leyen, ont annoncé être parvenus à un accord de principe sur un nouveau cadre. « C’est l’aboutissement de nos efforts conjoints pour rétablir la confiance et la stabilité dans les flux de données transatlantiques », a déclaré vendredi la secrétaire américaine au Commerce, Gina Raimondo, lors d’un point de presse avec des journalistes à Washington.
Le texte renforce les mesures visant à garantir la confidentialité et à protéger les libertés civiles dans les programmes de surveillance américains portant sur des données collectées en Europe et transférées ou conservées outre-Atlantique.
Il crée également un mécanisme indépendant et contraignant permettant aux ressortissants de l’UE de prendre des mesures s’ils pensent que leurs données personnelles ont été collectées illégalement par les services de renseignement américains. Et à supprimer ou corriger, si nécessaire. Deux niveaux d’appel sont prévus. L’un avec un officier chargé de protéger les libertés civiles au sein de la direction du renseignement américain. Si cette décision est contestée en premier lieu, il est possible de faire appel auprès d’un tribunal indépendant formé par le ministère de la Justice.
Pas de décision avant six mois
En juillet 2020, la Cour a estimé que le « Privacy Shield », utilisé par 5 000 entreprises américaines, dont des géants comme Google ou Amazon, ne protégeait pas « d’éventuelles ingérences dans les droits fondamentaux des personnes dont les données sont obtenues pour le transfert ». L’affaire avait été lancée par une plainte contre Facebook de Max Schrems, qui est déjà à l’origine du jugement de 2015 sur l’ancêtre du « Privacy Shield », « Safe Harbour ».
Face au risque d’une nouvelle action devant la CJUE, les responsables de Washington et de Bruxelles estiment que les dispositions du nouveau mécanisme répondent aux précédentes objections de la justice européenne. Du côté de l’UE, une décision n’est pas attendue avant environ six mois. Elle requiert l’avis du délégué européen à la protection des données (EDPB) et du Parlement européen, ainsi que l’approbation d’une majorité qualifiée des États membres (15 pays sur 27, représentant au moins 65 % de la population européenne).
Les décisions de la CJUE ont plongé dans l’incertitude juridique les entreprises opérant dans le bloc européen qui transfèrent ou conservent des données outre-Atlantique. Les entreprises américaines utilisant le Privacy Shield se sont rabattues sur un autre mécanisme européen de transfert de données, les « Standard Contractual Clauses » (SCCs), qui offrent moins de garanties juridiques. Ces mécanismes alternatifs font également l’objet de plusieurs recours de l’ONG de Max Schrems, NOYB (« None of your business », « Ce n’est pas vos affaires »), qui cible Google Analytics – leader de la mesure d’audience sur Internet – ou son homologue Facebook Connect.