Le 10 juillet dernier, la Commission européenne a adopté un nouveau cadre légal permettant le transfert de données personnelles de l’Union européenne vers les États-Unis. Ce dispositif se révèle crucial pour les acteurs de l’économie numérique, qui à la suite de l’invalidation par la justice européenne des précédents cadres, se trouvaient face à une incertitude juridique.
Les précédents dispositifs qui visaient à permettre le transfert des données de l’UE vers les USA, le Safe Harbour et le Privacy Shield, avaient été invalidés compte tenu des lois de surveillance américaines. La Cour de justice de l’UE avait été amenée à prendre ces décisions à la suite de recours du militant autrichien pour le respect de la vie privée Max Schrems.
Le nouveau cadre
Pour permettre le transfert libre de données à caractère personnel de l’UE (ainsi que de la Norvège, du Liechtenstein et de l’Islande) vers un pays tiers, la Commission doit s’assurer du caractère adéquat du niveau de protection de ce pays
Depuis l’invalidation du “Privacy Shield”, en 2020, la Commission européenne et le gouvernement américain ont entamé des discussions sur un nouveau cadre qui réponde aux préoccupations soulevées par la Cour. En mars 2022, la présidente Ursula von der Leyen et le président Joe Biden ont annoncé qu’ils étaient parvenus à un accord de principe.
Un décret sur le renforcement des garanties applicables aux activités de renseignement d’origine électromagnétique menées par les États-Unis (Enhancing Safeguards for United States Signals Intelligence Activities), répondrait aujourd’hui aux préoccupations exprimées par la Cour de justice de l’Union européenne dans sa décision Schrems II de juillet 2020.
La décision d’adéquation du 10 juillet dernier conclut donc que “les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l’Union européenne – pour les données à caractère personnel transférées de l’UE vers des entreprises américaines au titre du nouveau cadre”.
Le cadre de protection des données UE – États-Unis introduit de nouvelles garanties contraignantes , notamment en limitant l’accès des services de renseignement américains aux données de l’UE à ce qui est nécessaire et proportionné, et en instituant une Cour chargée du contrôle de la protection des données (Data Protection Review Court – DPRC), à laquelle les citoyens de l’Union auront accès.
Les entreprises américaines peuvent y adhérer si elles respectent un ensemble d’obligations en matière de protection de la vie privée, notamment la suppression des données à caractère personnel lorsqu’elles ne sont plus nécessaires et la garantie de la continuité de la protection lors du partage de données avec des tiers.
Les citoyens de l’UE bénéficieront de plusieurs voies de recours en cas de mauvaise utilisation de leurs données par des entreprises américaines.
Ursula von der Leyen a déclaré :
“Le nouveau cadre de protection des données UE – États-Unis garantira une circulation sécurisée des données aux Européens et apportera une sécurité juridique aux entreprises des deux côtés de l’Atlantique. À la suite de l’accord de principe auquel je suis parvenue avec le président Biden l’an dernier, les États-Unis ont mis en œuvre des engagements sans précédent pour établir le nouveau cadre. Aujourd’hui, nous prenons une mesure importante pour donner confiance aux citoyens quant à la sécurité de leurs données, pour approfondir les liens économiques entre l’UE et les États-Unis et, dans le même temps, pour réaffirmer nos valeurs communes. Cela montre qu’en travaillant ensemble, nous pouvons nous attaquer aux questions les plus complexes”.
Un nouveau recours devant la Cour de justice européenne ?
Pour Max Schrems, “dans l’ensemble, le nouveau “cadre transatlantique de protection des données personnelles” est une copie du Privacy Shield (de 2016), qui était lui-même une copie du “Safe Harbor” (de 2000)”.
Il déclare dans un communiqué le jour même de l’annonce :
“Nous avons déjà dans nos tiroirs plusieurs options de recours, mais nous en avons assez de ce ping-pong juridique. Nous nous attendons actuellement à ce que la Cour de justice soit à nouveau saisie au début de l’année prochaine. La Cour de justice pourrait même suspendre le nouvel accord pendant qu’elle en examine la substance. Dans l’intérêt de la sécurité juridique et de l’État de droit, nous saurons alors si les minuscules améliorations apportées par la Commission étaient suffisantes ou non. Au cours des 23 dernières années, tous les accords entre l’UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises – il semble que nous venons d’ajouter deux années supplémentaires à ce ping-pong”.