Après le Safe Harbor puis le Privacy Shield, un nouvel accord pour encadrer le transfert transatlantique de données personnelles se met en place (ou pas).
Plus de mille plaintes ont été déposées par None Of Your Business (NOYB), l’ONG autrichienne dirigée par Maximilian Schrems, à l’encontre d’entreprises européennes pour transfert illégal de données personnelles vers les États-Unis, dans la suite de l’invalidation du Privacy Shield (décision CJUE du 16 juillet 2020, Data Protection Commissionner c/ Facebook Ireland Ltd et Maximillian Schrems).
Depuis l’annulation de cette décision d’adéquation, plusieurs sociétés se sont retrouvées dans le viseur des autorités de contrôle européennes qui opèrent des contrôles de la licéité des transferts hors UE. Leur appréciation se fait au regard des clauses contractuelles types ou des garanties contractuelles, organisationnelles et techniques mises en place ou encore des dérogations pour situations particulières (notamment le consentement explicite des personnes concernées) (voir « Google Analytics dans le viseur des autorités de contrôle européennes », CIO 21 mars 2022).
Un accord politique de principe
Dans ce climat d’incertitude, l’annonce d’un accord sur le transfert des données entre l’Union européenne et les États-Unis redonne espoir aux entreprises. Il marque l’aboutissement de longues négociations – plus d’une année – menées par la secrétaire d’État au commerce américain Gina Raimondo, et le commissaire à la justice Didier Reynders. Et pour cause, les enjeux sont immenses : concilier la protection des droits des citoyens et le commerce transatlantique dans tous les secteurs de l’économie, y compris pour les petites et moyennes entreprises.
Selon la Commission européenne, ce nouveau cadre transatlantique de protection des données (« Trans-Atlantic Data Privacy Framework ») marquerait un « engagement sans précédent de la part des États-Unis à mettre en oeuvre des réformes qui renforceront les protections en matière de vie privée et de libertés civiles ». Au titre des garanties, il est ainsi prévu :
– La limitation de l’accès aux données : les autorités de renseignement américaines ne pourront accéder qu’à ce qui est « nécessaire et proportionné pour protéger la sécurité nationale » ;
– La mise en place d’un mécanisme de recours indépendant et contraignant (la « Data Protection Review Court ») doté d’un double niveau juridictionnel : l’objectif est de pouvoir ordonner des mesures correctives et permettre aux européens de contester les demandes d’accès ;
– Le renforcement du contrôle des activités des agences de renseignement.
Encore du chemin pour élaborer un accord juridique !
L’accord politique doit encore se transformer en « décision d’adéquation ». Le chemin s’annonce long et semé d’embûches. En effet, côté US, il faudra un décret « présidentiel » (executive order) qui servira de base à une proposition de décision d’adéquation de la Commission européenne. Le Comité européen de la protection des données (CEPD) devra rendre un avis sur le texte proposé. Les États membres devront approuver le texte, avant l’adoption définitive par la Commission de la décision d’adéquation. À tout moment, le Parlement européen et le Conseil pourront demander à la Commission de modifier ou retirer la décision d’adéquation s’ils estiment qu’il y a un excès de pouvoir. Enfin, une fois adoptée, la décision d’adéquation devra encore passer le filtre de la CJUE, qui ne manquera pas d’être saisie pour se prononcer sur la validité du dispositif.
L’exercice s’annonce d’autant plus délicat que les deux précédentes décisions d’adéquation – le Safe Harbor (CJUE, 6 octobre 2015, affaire C-362/14) puis le Privacy Shield (CJUE, 16 juillet 2020, affaire C-311/18) ont été annulées par la CJUE. La Haute juridiction européenne a en effet considéré, à deux reprises, que l’accès aux données des citoyens européens par les autorités et services de renseignement américains ne répondait pas au principe de proportionnalité et était insuffisamment limité !
Aussi, si la Commission européenne voit dans cet accord « une base durable pour les flux de données transatlantiques », l’association NOYB de Maximilian Schrems estime, quant à elle, qu’en l’absence de modification des lois de surveillance américaines, les garanties apportées seront nécessairement insuffisantes. C’est dire que l’affaire Schrems n’a pas fini de faire des vagues ! (voir « L’affaire Schrems n’en finit pas de faire des vagues », CIO 14 février 2022 »). Par ailleurs, certains déplorent que cet accord annihile les efforts pour construire une souveraineté numérique.
Affaire à suivre donc !
Pour lire La Tribune dans son contexte original.
