Les États-Unis passent à l’action sur le sujet sensible du transfert transatlantique des données personnelles. Le Président Joe Biden a dévoilé un nouveau décret exécutif, pouvant servir de base à la future décision d’adéquation prise par l’UE. Elle devra garantir un niveau de protection des données personnelles au moins équivalent à celui des 27 et permettra leurs libre circulations entre les deux continents, conformément au RGPD.
Plus de six mois après avoir annoncé qu'ils avaient trouvé un accord de principe avec Bruxelles, les États-Unis remontent donc au créneau sur ce sujet très sensible du transfert transatlantique des données personnelles.
L’annonce était très attendue d'autant que les deux précédents cadres, le "Safe Harbor" et le "Privacy Shield", avaient été invalidés par la justice européenne (CJUE)
La cour avait notamment estimé, en juillet 2020, qu’il y avait un risque que les services de renseignement américains accèdent aux données personnelles hébergées sur les serveurs des entreprises nationales, en raison de l’extraterritorialité de certaines de ses lois, t ce, peu importe leurs localisations.
Cette décision de justice dite "Schrems II" avait conduit la Cnil, ainsi que certaines de ses homologues européennes, et notamment autrichienne, à juger l’utilisation de Google Analytics illégale.
L’invalidation du précédent régime avait même poussé Meta à faire planer la menace d’un retrait de ses services dans l’UE.
Risque d'un Shrems III?
Face au risque d’un "Schrems III", l’administration américaine a mis en avant plusieurs garde-fous.
Elle introduit une nouvelle Cour d'examen de la protection des données, sous tutelle du ministère de la Justice américain, et que les citoyens européens pourront saisir en cas de litige.
Les États-Unis s’engagent également à limiter l’accès aux données des Européens par leurs autorités à ce qui est "nécessaire" et de manière "proportionnée", reprenant la sémantique de la législation européenne en la matière.
Pas de garanties à ce jour, mais un pas dans la bonne direction.
Ces garanties apportées par Washington ne semblent pour autant pas rassurer Max Schrems, à l’origine des précédents recours contre les décisions d’adéquation.
"L'UE et les États-Unis sont désormais d'accord sur l'utilisation du mot 'proportionné' mais semblent en désaccord sur sa signification. À première vue, il semble que les questions essentielles n'ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE", a-t-il déclaré
Max Schrems n’est pas le seul à douter de la viabilité de la décision d’adéquation à venir.
"Même si les autorités américaines tentent de combler les lacunes du Privacy Shield initial, le fait est que l'UE et les États-Unis ont toujours une approche différente de la protection des données qui ne peut être gommée par un décret", a déclaré de son côté Ursula Pachl, la directrice générale adjointe du Bureau européen des unions de consommateurs (BEUC). Selon l’Union américaine pour les libertés civiles (ACLU), "s’il s’agit d’un "pas dans la bonne direction", le décret du président Biden continuera de "mettre en péril" les transferts de données UE-États-Unis, faute de réforme en profondeur du système américain."
Reste maintenant à La Commission européenne d'étudier ce nouveau cadre législatif, de rédiger une décision d’adéquation puis de la soumettre à l’aval des États membres.
Bruxelles semble avoir bon espoir que cette fois-ci soit la bonne, mettant en avant les "garanties incluses dans le décret, tant en ce qui concerne la limitation substantielle de l'accès des autorités de sécurité nationale américaines aux données (nécessité et proportionnalité) que la mise en place du nouveau mécanisme de recours".
Comments