« C’est un jour important. Après deux ans de négociations complexes », la Commission européenne a adopté sa décision d’adéquation sur « le Data Privacy Framework » ou DPF, le nouveau nom de l’accord transatlantique sur les données personnelles qui remplace le « Privacy Shield ». L’annonce est tombée ce lundi 10 juillet en milieu d’après-midi, annoncée par le commissaire européen à la justice, Didier Reynders. Cette décision, attendue, est la dernière étape d’une très longue série d’approbations qui a commencé en mars 2022, lorsque Joe Biden, le président des États-Unis, et Ursula von der Leyen, la présidente de la Commission européenne, avaient déclaré avoir trouvé un nouvel accord politique sur le transfert transatlantique de données personnelles.
En Europe, nos data sont protégées par le RGPD, le règlement européen sur les données personnelles. Lorsque ces données sont collectées et envoyées par les géants du numérique comme Google ou Meta en dehors de l’Union européenne, la Commission européenne analyse le droit du pays en question. S’il est aussi protecteur que le droit européen, elle adopte ce qu’on appelle une décision d’adéquation, qui autorise ces transferts. Le problème est que pour les États-Unis, ces décisions ont été retoquées par la Cour de justice de l’UE à deux reprises – une fois en 2015, avec l’annulation du « Safe Harbor », et une seconde fois en 2020, avec l’annulation du « Privacy Shield ». Les juges européens estimaient que le cadre juridique américain ne protégeait pas les Européens des « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Dans leur viseur : les pratiques de surveillance de masse du renseignement américain au nom de leur sécurité nationale.
À lire aussi : Données personnelles : Meta peut-il échapper à son amende record ?
Deux nouveaux critères de nécessité et de proportionnalité dans la loi américaine
En d’autres termes, ils estimaient que les services secrets américains avaient un trop grand accès à nos données sans le moindre garde-fou comme la supervision d’un juge, ou la possibilité de former un recours. Les magistrats ont conclu que le droit américain n’offrait pas des niveaux de protection de la vie privée équivalents à ceux en vigueur au sein de l’Union européenne. Ils demandaient donc au législateur américain de changer la donne et de modifier ses lois. Un décret présidentiel américain, en octobre 2022, avait alors présenté de nouvelles garanties pour les données des Européens arrivées aux États-Unis. L’accès des data européennes par les services secrets américains est, selon ce texte, désormais limité à ce qui est « nécessaire » et « proportionné » vis-à-vis de la sécurité nationale américaine : ces deux critères n’existaient pas jusqu’alors.
« Ce n’est pas tout à fait le même système en Europe mais c’est un système équivalent », a soutenu Didier Reynders, pendant la conférence de presse. La Commission européenne avait ensuite publié une version provisoire de sa décision d’adéquation en décembre 2022, un texte passé au crible des Cnils européennes et du Parlement européen. Ces deux organes avaient publié des avis consultatifs plus que mitigés, demandant des précisions ou des garanties supplémentaires. Ils pointaient du doigt, notamment, les cas où la collecte des données se faisait encore en masse par le Renseignement américain.
« Il faudrait peut-être tester le système américain avant de le contester devant la Cour »
Interviewé par 01net, Max Schrems, le juriste autrichien à l’origine des actions en justice contre les précédents accords, expliquait début juillet qu’il allait contester la future décision d’adéquation devant la CJUE – un fait réitéré ce jour sur son compte Twitter, en référence à un troisième round devant la justice européenne.
It would be such a nice summer day, but here we are – watching the third round to the #CJEU and back.. 🙄#BurnedTimeAndMoney #GDPR #TADPF pic.twitter.com/jjdr2ATDJY
— Max Schrems 🇪🇺 (@maxschrems) July 10, 2023
Le Commissaire européen, interrogé à ce sujet sur la future bataille juridique pendant la conférence de presse, a répliqué que l’UE avait pourtant « obtenu des progrès considérables qui répondent aux exigences de la Cour européenne de justice. Ce nouveau cadre est bien différent de ce qu’on connaissait sous le “Privacy Shield” ».
Le responsable politique a cependant ajouté qu’il y aura bien « une nouvelle procédure devant la CJUE », regrettant le fait « qu’il faudrait peut-être tester le système américain avant de le contester devant la Cour ». La bonne nouvelle est que « les données personnelles peuvent dorénavant circuler librement de l’espace économique européen vers les États-Unis », a-t-il estimé. Avec ce nouvel accord, « la certitude juridique » des 5 000 entreprises concernées par ces transferts est « garantie », a-t-il poursuivi, en référence à une « stabilité » pour ces dernières qu’il a fallu « restaurer ».
L’absence d’accord sur ces données rendait leur transfert illégal, ce qui n’a pourtant pas impacté les entreprises concernées, expliquait au contraire Max Schrems il y a quelques jours à 01net, contestant toute idée d’instabilité due à l’absence d’accord. « Les entreprises qui transfèrent les données des Européens vers les États-Unis n’ont pas été pénalisées par l’absence d’accord transatlantique. Lorsque vous leur parlez, elles vous disent qu’elles savent que ce qu’elles font n’est pas légal, mais il n’y a aucune conséquence », déplorait le juriste autrichien à l’origine des deux annulations de l’accord.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
Un troisième round annoncé par Max Schrems
Quelques jours plus tôt, les 27 États membres avaient approuvé la décision d’adéquation, ultime étape avant l’annonce officielle de ce jour de la Commission européenne. Cela signifiait qu’ils reconnaissaient que le nouveau cadre américain leur paraissait suffisamment protecteur pour que les données personnelles des Européens arrivent sur le sol américain. Fin juin, les agences de renseignement américain avaient adopté de nouvelles « politiques et procédures » en matière de traitement des données des Européens, conformément au décret présidentiel pris en octobre dernier.
Cette annonce devrait aboutir à un troisième round devant la CJUE, a expliqué Max Schrems dans un communiqué de NOYB, l’association qu’il a fondée. « Le recours devant la CJUE est prêt à être déposé », ce nouvel accord « étant en grande partie une copie du “Privacy Shield” qui a été annulé. Malgré les efforts de relations publiques de la Commission européenne, la législation américaine et l’approche adoptée par l’UE n’ont guère changé. Le problème fondamental de la section 702 de la loi Fisa n’a pas été abordé par les États-Unis, qui considèrent toujours que seuls les ressortissants américains peuvent bénéficier de droits constitutionnels », a-t-il déploré. Cette section 702, qui autorise un accès massif et sans distinction aux données personnelles des Européens par les services secrets, est sur le point d’être renouvelée à la fin de l’année aux États-Unis : une « occasion manquée » pour l’exécutif européen de taper du poing sur la table et de négocier plus de droits pour nos données, regrettait le juriste autrichien. Rendez-vous donc devant la CJUE dans… deux à trois ans.
À lire aussi : Transfert de données transatlantique : Les États-Unis n’apporteront pas de garanties supplémentaires aux Européens
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Conférence de presse de la Commission européenne du 10 juillet