Les États-Unis se conforment à un cadre clé qui réglemente la manière dont des milliers d’entreprises technologiques partagent des informations de l’autre côté de l’Atlantique, selon une première étude – mais les opposants se plaignent que la Commission européenne fasse ses propres devoirs.
Les États-Unis se conforment à un cadre essentiel en matière de confidentialité, nécessaire pour garantir que les données des Européens ne soient pas utilisées à mauvais escient lorsqu’elles sont envoyées à l’étranger, a conclu la Commission européenne dans un rapport publié mercredi.
Le cadre de confidentialité des données entre l’UE et les États-Unis réglemente les flux de données transatlantiques pour des milliers d’entreprises – mais les défenseurs de la vie privée craignent qu’il ne soit rempli de lacunes.
« Les autorités américaines ont mis en place les structures et procédures nécessaires pour garantir que le cadre de confidentialité des données fonctionne efficacement », a conclu la Commission dans son examen de l’accord, saluant notamment la création d’une autorité de surveillance américaine.
Plus de 2 800 entreprises américaines sont actuellement certifiées dans le cadre de cet accord, ce qui leur permet d’échanger des données plus facilement et à moindre coût, indique le rapport.
Le cadre a été introduit en 2023 après que la plus haute juridiction de l’UE a annulé deux accords antérieurs de partage de données, connus sous le nom de décisions de bouclier de confidentialité et de sphère de sécurité.
Un an plus tard, la Commission, aux côtés du Comité européen de la protection des données (EDPB), des autorités nationales de protection des données et des représentants de divers ministères américains, a évalué sa mise en œuvre.
Le nouveau cadre visait à répondre aux préoccupations des juges selon lesquelles la collecte de données privées des citoyens européens par les entreprises et les services de renseignement américains était disproportionnée.
Mais les critiques restent sceptiques.
« Les États-Unis ne respectent pas ce qu’ils ont promis à la Commission », a déclaré à L’Observatoire de l’Europe Philippe Latombe, ancien membre de la CNIL et ancien député.
Il a évoqué le Foreign Intelligence Surveillance Act (FISA), qui devait être abandonné mais qui a été renouvelé au printemps dernier et qui permet aux services de renseignement américains de collecter des données à partir de plates-formes et d’applications américaines telles que Teams, Cisco et WebEx. « La Commission le sait, elle le reconnaît, mais elle ne parvient pas à tirer les conclusions de ses propres conclusions », a ajouté Latombe.
Le rapport de la Commission reconnaît la FISA et conclut que de futures mesures d’atténuation pourraient être introduites.
NOYB, un groupe militant axé sur la vie privée en ligne, a également exprimé sa frustration face à un rapport qui, selon lui, constitue la Commission marquant ses propres devoirs.
« Nous ne comptons plus les rapports positifs publiés par la Commission ces dernières années. Malgré eux, la Cour de justice (de l’UE) a constamment constaté des violations massives. C’est comme si un étudiant prétendait avoir tout fait parfaitement, alors qu’en réalité, il sont voués à l’échec », a déclaré NOYB à L’Observatoire de l’Europe.
Latombe a déjà engagé une action en justice contre le cadre UE-États-Unis, et NOYB a également indiqué son intention de contester l’accord.
L’industrie est plus positive.
La Business Software Alliance, un groupe de pression représentant les principaux fabricants de logiciels, a salué le rapport, se disant « ravie de voir la confirmation que les autorités américaines ont mis en place avec succès tous les éléments nécessaires pour soutenir les normes de protection des données du cadre ».
Selon l’Association internationale des professionnels de la protection de la vie privée (IAPP), le rapport est « une bonne nouvelle pour les organisations en quête de prévisibilité dans ce domaine ».
« Cela confirme également que l’adéquation reste une priorité stratégique pour la Commission européenne dans son soutien aux flux de données sur la scène mondiale », a ajouté l’IAPP.
Le cadre devrait ensuite être évalué dans trois ans.