Ce 7 octobre 2022, le président américain Joe Biden a dévoilé un décret exécutif, point de départ d’un nouveau cadre de transfert des données personnelles de l’Union européenne vers les États-Unis, faisant suite à l’invalidation du Privacy Shield. Si la Commission européenne se montre optimiste, les associations de défense de la vie privée l’estiment insuffisant, et devraient, à nouveau, le contester devant la CJUE.
Au printemps 2022, les États-Unis et l’Union européenne ont trouvé un accord de principe sur la question explosive du transfert transatlantiques des données personnelles.
Joe Biden publie un décret pour un nouveau cadre de transfert transatlantique des données personnelles
Ce vendredi 7 octobre 2022, le président américain Joe Biden a publié un décret exécutif sur le sujet, qui doit servir de base à la future décision d’adéquation prise par l’Union européenne.
Cette adéquation prend des allures de quadrature du cercle, puisqu’elle doit garantir que les données personnelles des Européens, une fois transférées aux États-Unis, bénéficieront d’un niveau de protection au moins équivalent à celui de l’Union européenne, et donc respectant le RGPD.
Or, difficile d’obtenir une telle garantie, surtout en considérant l’absence d’équivalent US du RGPD et, surtout, le CLOUD Act : cette loi extraterritoriale, adoptée en 2018, permet en effet aux administrations américaines, sur décision de justice et dans le cadre d’infraction les plus graves (comme les crimes ou le terrorisme), d’accéder aux données hébergées dans les serveurs informatiques situés dans d’autres pays, pour peu qu’elles soient opérées par un acteur américain.
Les cadres précédents, Safe Harbor et Privacy Shield, avaient été invalidés par la CJUE
C’est essentiellement à cause de ce CLOUD Act que le Cour de Justice de l’Union européenne (CJUE) avait invalidé, en juillet 2020, le Privacy Shield (le cadre de transfert transatlantique des données en vigueur depuis 2016, et qui avait succédé au Safe Harbor, lui aussi invalidé précédemment).
C’est en vertu de cet arrêt, baptisé Schrems II, que la CNIL et d’autres autorités équivalentes dans l’Union européenne avaient jugé que l’utilisation de Google Analytics était illégale. Meta avait même annoncé envisager de quitter l’Europe à cause de cet arrêt.
Les États-Unis montrent patte blanche…
Alors, le nouveau cadre esquissé par la Maison-Blanche ouvrira-t-il une nouvelle ère dans le transfert transatlantique des données ? Il propose pour cela deux nouveaux mécanismes. D’abord l’établissement d’une « Cour d’examen de la protection des données », sous tutelle du ministère de la Justice américain, que les citoyens européens pourront saisir en cas de litige.
Ensuite, et surtout, le décret prévoit que les autorités américaines limiteront l’accès aux données des Européens à ce qui est « nécessaire » et de manière « proportionnée », reprenant la terminologie utilisée par le RGPD.
L’Union européenne se montre plutôt optimiste pour que cette troisième tentative soit la bonne, notamment grâce aux « garanties incluses dans le décret, tant en ce qui concerne la limitation substantielle de l’accès des autorités de sécurité nationale américaines aux données (nécessité et proportionnalité) que la mise en place du nouveau mécanisme de recours ».
… mais sans convaincre Max Schrems et les défenseurs de la vie privée
Mais cela risque d’être insuffisant pour convaincre la CJUE de la concordance de ce nouveau cadre avec les lois européennes. C’est du moins ce qu’estime l’activiste autrichien Max Schrems, de l’association noyb, à l’origine de l’invalidation du Safe Harbor et du Privacy Shield.
« L’Union européenne et les États-Unis sont désormais d’accord sur l’utilisation du mot ‘proportionné’ mais semblent en désaccord sur sa signification ». Il estime que la Commission européenne ferme « à nouveau les yeux sur la loi américaine, pour permettre aux USA de continuer à espionner les Européens ».
Pour lui, peu de doute est permis : cette adéquation va conduire tout droit à un arrêt Schrems III, ou équivalent : « À première vue, il semble que les questions essentielles n’ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE », déclare l’activiste.
« Une approche différente de la protection des données qui ne peut être gommée par un décret »
Même son de cloche du coté du Bureau européen des unions de consommateurs (BEUC) : « Même si les autorités américaines tentent de combler les lacunes du Privacy Shield initial, le fait est que l’UE et les États-Unis ont toujours une approche différente de la protection des données qui ne peut être gommée par un décret », estime ainsi sa directrice générale adjointe, Ursula Pachl.
L’Union américaine pour les libertés civiles (ACLU) est globalement sur la même ligne : même si elle pointe un « pas dans la bonne direction », elle appelle toujours à une refonte totale du système américain de protection des données.