Le président américain Joe Biden a signé vendredi un décret permettant d'avancer dans la mise en œuvre d'un nouveau cadre pour le transfert des données personnelles de l'Union européenne vers les Etats-Unis, crucial pour l'économie numérique. Washington et Bruxelles avaient trouvé en mars un accord de principe sur ce dossier de longue date, de précédentes moutures ayant été retoquées par la Cour de justice de l'Union européenne (CJUE) en raison de craintes sur les programmes de surveillance américains.
Le commissaire européen à la Justice Didier Reynders a salué vendredi cette signature. Elle "marque une étape importante dans notre détermination à rétablir des flux de données transatlantiques sûrs et libres", a tweeté le responsable belge.
Today’s signing of the Executive Order by @POTUS marks a significant step in our determination to restore safe & free transatlantic data flows. Thank you @SecRaimondo & AG Garland for the excellent collaboration. We will now start the work for proposing a new #AdequacyDecisionpic.twitter.com/mUTPrvkaTb
— Didier Reynders (@dreynders) October 7, 2022
La signature du décret par le président américain va permettre à la Commission européenne de commencer son propre processus de ratification, qui devrait prendre plusieurs mois.
Garantir la confidentialité et la protection des libertés civiles
"Il s'agit de l'aboutissement de nos efforts conjoints pour restaurer la confiance et la stabilité des flux de données transatlantiques", a commenté la secrétaire américaine au Commerce, Gina Raimondo, lors d'un briefing avec des journalistes. Le texte renforce les mesures visant à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains visant les données recueillies en Europe et transférées ou hébergées outre-Atlantique.
Max Schrems juge "très probable" une nouvelle action en justice
Le militant pour le respect de la vie privée Max Schrems a jugé vendredi "très probable" une action en justice contre le nouveau cadre fixé pour le transfert des données personnelles de l'Union européenne vers les Etats-Unis. "Nous allons vraisemblablement attaquer (le texte) en justice", a-t-il dit à l'AFP, évoquant une probabilité de "90%".
"Nous devons d'abord l'analyser en détail, ce qui va nous prendre quelques jours. De prime abord, il semble que les questions centrales ne sont pas résolues et le dossier sera de retour devant la justice tôt ou tard", a-t-il également réagi dans un communiqué.
Il crée également un mécanisme indépendant et contraignant permettant aux individus des États éligibles de demander réparation s'ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. Ce mécanisme prévoit deux niveaux de recours, l'un auprès d'un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l'autre auprès d'un tribunal indépendant formé par le ministère de la Justice.
Répondre à la décision Schrems II de la CJUE
"Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l'Union européenne et couvriront les transferts de données personnelles vers les États-Unis en vertu du droit de l'UE", a affirmé Gina Raimondo. En juillet 2020, la Cour avait estimé que le "Privacy Shield", utilisé par 5.000 entreprises américaines, dont les géants comme Google ou Amazon, ne protégeait pas de possibles "ingérences dans les droits fondamentaux des personnes dont les données sont transférées".
L'affaire avait été lancée par une plainte contre Facebook de Max Schrems, figure de la lutte pour la protection des données, déjà à l'origine de l'arrêt de 2015 sur l'ancêtre du "Privacy Shield", "Safe Harbor". Il est possible que la nouvelle version soit de nouveau attaquée en justice, ont reconnu des responsables de l'administration américaine lors du briefing. Mais elle a été conçue pour répondre aux précédentes réserves de la justice européenne, ont-ils assuré.
La décision de la CJUE avait plongé dans le flou juridique les entreprises opérant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique. Elles ont depuis eu recours à des solutions alternatives, à la légalité plus incertaine, pour continuer ces transferts, dans l'attente d'un système plus solide et pérenne.