Un nouveau cadre pour le transfert des données vers les Etats-Unis, déjà disqualifié selon certains

Le 10 juillet,  la Commission européenne a adopté le nouveau cadre de confidentialité des données entre UE et États-Unis. La Commission considère que le nouveau cadre assure que les Etats-Unis garantissent un niveau de protection adéquat – comparable à celui de l’Union européenne – pour les données à caractère personnel transférées de l’UE vers des entreprises américaines. Le juriste Max Schrems balaie tout cela et considère que d’ici 2 ans, le CJUE (Cour de Justice de l’Union Européenne) aura de nouveau disqualifié ce texte.

Un cadre pour le transfert des données

La Commission européenne pour sa part déclare que sur la base de sa nouvelle décision, les données à caractère personnel peuvent circuler en toute sécurité de l’UE vers les entreprises américaines participant au cadre, sans avoir à mettre en place des garanties supplémentaires en matière de protection des données.

La Commission déclare que ce cadre UE-États-Unis sur la confidentialité des données introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l’Union européenne (CJUE), notamment en limitant l’accès aux données de l’UE par les services de renseignement américains à ce qui est nécessaire et proportionné, et en établissant une Cour de révision de la protection des données (DPRC ou Data Protection Review Court), auquel les citoyens de l’UE auront accès. 

Par exemple, si la DPRC constate que des données ont été collectées en violation des nouvelles garanties, elle pourra ordonner la suppression des données. Les nouvelles garanties dans le domaine de l’accès du gouvernement aux données viendront compléter les obligations auxquelles les entreprises américaines important des données de l’UE devront souscrire.

Accord revendiqué par Ursula von der Leyen avec Joe Biden

« Le nouveau cadre de confidentialité des données UE-États-Unis garantira des flux de données sûrs pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l’Atlantique » affirme Ursula von der Leyen, Présidente de la Commission européenne. «  Suite à l’accord de principe que j’ai conclu avec le président Biden l’année dernière, les États-Unis ont mis en œuvre des engagements sans précédent pour établir le nouveau cadre » poursuit-elle.

«Aujourd’hui, nous franchissons une étape importante pour donner aux citoyens l’assurance que leurs données sont en sécurité, pour approfondir nos liens économiques entre l’UE et les États-Unis et, en même temps, pour réaffirmer nos valeurs communes. Cela montre qu’en travaillant ensemble, nous pouvons résoudre les problèmes les plus complexes » affirme-t-elle.

Les entreprises américaines pourront adhérer au cadre de protection des données UE-États-Unis en s’engageant à respecter un ensemble détaillé d’obligations en matière de confidentialité, par exemple l’obligation de supprimer les données personnelles lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, et assurer la continuité de la protection lorsque des données personnelles sont partagées avec des tiers.

Plusieurs voies de recours en cas de traitement de données à tort

Les citoyens de l’UE bénéficieront de plusieurs voies de recours au cas où leurs données seraient traitées à tort par des entreprises américaines. Cela comprend des mécanismes de règlement des différends indépendants gratuits et un groupe spécial d’arbitrage.

De son côté, la Commission estime que le cadre juridique américain prévoit un certain nombre de garanties concernant l’accès aux données transférées en vertu du cadre par les autorités publiques américaines, en particulier à des fins d’application de la loi pénale et de sécurité nationale. L’accès aux données est limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.

La Commission estime que les citoyens de l’UE auront accès à un mécanisme de recours indépendant et impartial concernant la collecte et l’utilisation de leurs données par les agences de renseignement américaines, qui comprend une nouvelle Cour de révision de la protection des données (DPRC). La Cour enquêtera et réglera les plaintes de manière indépendante, notamment en adoptant des mesures correctives contraignantes.

Une facilitation des flux de données

Selon la Commission, les garanties mises en place par les États-Unis faciliteront également les flux de données transatlantiques de manière plus générale, puisqu’elles s’appliquent également lorsque les données sont transférées à l’aide d’autres outils, tels que les clauses contractuelles types et les règles d’entreprise contraignantes.

Face à cette décision de la Commission européenne, chez Noyb (None of your business, ce n’est pas votre affaire), l’organisation qui combat depuis des années avec succès le transfert des données des Européens vers les Etats-Unis, on estime que le nouveau cadre transatlantique de protection des données personnelles est en grande partie une copie du « bouclier de protection des données » de 2016 qui a échoué. Pour Noyb, cette 3^ème tentative de la Commission européenne pour obtenir un accord stable sur les transferts de données entre l’UE et les États-Unis sera probablement renvoyée devant la Cour de justice (CJUE) dans quelques mois.

Selon Noyb, la Commission européenne fait des efforts de relations publiques mais la législation américaine et l’approche adoptée par l’UE n’ont guère changé. Noyb insiste sur le fait que le problème fondamental de la FISA 702 n’a pas été abordé par les États-Unis qui considèrent toujours que seuls les ressortissants américains peuvent bénéficier de droits constitutionnels.

L’Europe a raté l’occasion de faire réformer FISA 702

Une occasion a été ratée selon Noyb. « Une fois de plus, la Commission actuelle semble penser que le désordre sera le problème de la prochaine Commission. FISA 702 doit être prolongé par les Etats-Unis cette année, mais avec l’annonce du nouvel accord, l’UE a perdu tout pouvoir pour obtenir une réforme de FISA 702 » déplore le juriste Max Schrems, Président de Noyb. 

« Les communiqués de presse d’aujourd’hui sont presque une copie littérale de ceux des 23 dernières années. Se contenter d’annoncer que quelque chose est ‘nouveau’, ‘robuste’ ou ‘efficace’ ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n’est tout simplement pas le cas » s’insurge Max Schrems. Noyb annonce avoir préparé diverses options procédurales pour ramener le nouvel accord devant la CJUE.

Noyb s’attend à ce que le nouveau système défini par la Commission européenne soit mis en œuvre par les premières entreprises dans les prochains mois. « Cela ouvrira la voie à une contestation par une personne dont les données sont transférées dans le cadre du nouvel instrument ». Selon Noyb, il n’est pas improbable qu’un recours parvienne à la CJUE d’ici la fin de l’année 2023 ou le début de l’année 2024. Dès lors, une décision finale de la CJUE serait vraisemblablement rendue en 2024 ou 2025.

Une décision de la CJUE d’ici 2 ans

Quelle que soit l’issue de ce recours, le « cadre transatlantique de protection des données » sera clarifié dans un délai d’environ deux ans, pense Max Schrems. « Au cours des 23 dernières années, tous les accords entre l’UE et les États-Unis ont été déclarés invalides rétroactivement [NDLR : par la CJUE], rendant ainsi illégaux tous les transferts de données effectués dans le passé par les entreprises – il semble que nous venons d’ajouter deux années supplémentaires à ce ping-pong » déplore Max Schrems.

Le juriste estime que la Commission européenne ignore la CJUE pour la troisième fois et semble donner la priorité aux relations diplomatiques avec les États-Unis et aux pressions commerciales des deux côtés de l’Atlantique plutôt qu’aux droits des Européens et aux exigences de la législation de l’UE.

L’opinion de Max Schrems est partagée par Jérôme Valat, co-fondateur de Cleyrop, Data hub européen pour l’industrialisation des données. « La Commission européenne ne fait malheureusement que repousser le problème sans mettre fin à l’incertitude juridique pour de nombreuses entreprises. Pas de surprise, pas de suspense. Nous repartons pour 2 ans de procédure dont on connait déjà l’issue : une invalidation, pour la troisième fois, par la Cour de justice » conclut-il.