Bruxelles a annoncé lundi que le transfert de données personnelles aux États-Unis peut avoir lieu légalement après avoir obtenu des garanties sur l’accès des agences de renseignement et la création d’un mécanisme de recours pour les résidents de l’UE.
La décision d’adéquation signifie que Bruxelles considère que Washington assure un niveau de protection comparable à celui de l’UE pour les données personnelles transférées du bloc aux entreprises américaines.
L’accord intervient trois ans après que la Cour de justice de l’UE (CJUE) a invalidé la décision d’adéquation précédente sur le bouclier de protection des données UE-États-Unis et plus d’un an après que la chef de la Commission Ursula von der Leyen et le président américain Joe Biden ont annoncé qu’ils avaient atteint un accord de principe sur un nouveau cadre pour les flux de données transatlantiques.
Depuis lors, Biden a signé un décret exécutif pour renforcer les garanties de confidentialité et de libertés civiles pour les agences de renseignement américaines et pour créer un nouveau mécanisme indépendant et contraignant permettant aux individus de demander réparation s’ils pensent que leurs données ont été collectées à tort par les agences de renseignement.
« Je salue les engagements importants pris par les États-Unis. Pour que les citoyens puissent avoir confiance dans la sécurité de leurs données et pour que nous puissions approfondir les liens économiques », a déclaré von der Leyen dans un tweet en réaction à l’annonce de lundi.
Le Centre européen pour les droits numériques (NOYB), une ONG dirigée par Max Schrems, le militant de la vie privée qui a contesté avec succès les décisions d’adéquation précédentes, a déjà annoncé qu’il se tournerait à nouveau vers les tribunaux.
Il fait valoir que cette nouvelle tentative de mise en place d’un cadre transatlantique de confidentialité des données est « en grande partie une copie de l’échec du « Privacy Shield » » et que le problème fondamental des lois américaines sur le renseignement étranger « n’a pas été résolu ».
« Nous avons déjà plusieurs options de contestation dans le tiroir, même si nous en avons assez de ce ping-pong juridique. Nous nous attendons actuellement à ce que cela revienne à la Cour de justice d’ici le début de l’année prochaine », a déclaré Schrems dans un communiqué. déclaration.
Le nouveau cadre est « substantiellement différent »
Interrogé sur la perspective de poursuites judiciaires, le commissaire à la justice Didier Reynders a déclaré aux journalistes : « Je suis sûr que nous avons des arguments très solides pour montrer que nous avons désormais un système très différent ».
Il a déclaré que Bruxelles avait « réalisé des modifications importantes du cadre juridique américain » pour répondre aux exigences précédemment énoncées par la CJUE et que « ce nouveau cadre est substantiellement différent du bouclier de protection des données UE-États-Unis ».
« Pourquoi ne pas tester un nouveau système avant d’aller trop loin dans la critique d’un tel système ? », a-t-il ajouté.
Il a souligné par exemple que le mécanisme de recours sera gratuit et disponible dans toutes les langues de l’UE puisque les plaintes seront déposées par l’intermédiaire des autorités nationales de protection des données.
Elles seront ensuite transmises au comité européen de la protection des données qui les transférera aux États-Unis où elles feront d’abord l’objet d’une enquête par le soi-disant « agent de protection des libertés civiles » de la communauté du renseignement américain. Ils seront chargés d’évaluer si les agences de renseignement ont respecté la vie privée et les droits fondamentaux et si les principes de nécessité et de proportionnalité ont été respectés.
Dans le cas où le plaignant de l’UE n’est pas d’accord avec cette première évaluation, la plainte peut alors être transmise à un tribunal de révision de la protection des données (DPRC) nouvellement créé qui sera composé de membres extérieurs au gouvernement américain, qui ne peuvent pas être renvoyés sans motif et qui ne peuvent pas recevoir des instructions du gouvernement.
Ce nouvel organe indépendant sera habilité à enquêter sur les plaintes et pourra prendre des décisions correctives contraignantes, y compris la suppression des données.
Julia Kaufmann, partenaire informatique et données chez Osborne Clarke, un cabinet juridique international basé à Londres, a déclaré à L’Observatoire de l’Europe que le décret exécutif sur lequel repose la nouvelle décision d’adéquation – EO 14086 – garantit que les droits accordés « sont accordés à toutes les personnes, quel que soit leur nationalité ou lieu de résidence ».
« Je ne trouve rien dans l’EO 14086 qui appuierait la déclaration de M. Schrems selon laquelle les droits accordés sont limités aux personnes américaines. »
« La question n’est pas de savoir si tous les droits accordés par une constitution s’appliquent également aux non-ressortissants, la question est de savoir si les lois et pratiques d’un pays tiers sont adéquates du point de vue de l’UE. Bien sûr, ce que nous ne savons pas à ce stade est de savoir si la pratique actuelle aux États-Unis suivra les lois. C’est quelque chose que la Commission européenne devra surveiller et s’est engagée à le faire », a-t-elle ajouté.
La décision d’adéquation entrera en vigueur mardi avec un premier examen qui aura lieu dans l’année suivant l’entrée en vigueur « pour vérifier si tous les éléments pertinents du cadre juridique américain fonctionnent efficacement dans la pratique », a indiqué la Commission dans un communiqué.
D’autres examens auront ensuite lieu au moins tous les quatre ans.