Vers un nouveau cadre pour le transfert des données personnelles UE/Etats-Unis

53

La Commission européenne a entamé mardi la procédure ouvrant la voie à un transfert des données personnelles de l’Union européenne vers les États-Unis dans un nouveau cadre légal, crucial pour l’économie numérique.

Cette étape fait suite à la signature en octobre d’un décret par le président américain Joe Biden prévoyant des garde-fous pour limiter l’accès par les agences de renseignement américaines à ces données recueillies en Europe et traitées outre-Atlantique.

Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer ces données des Européens vers les États-Unis avaient été invalidés par la justice européenne en raison de craintes concernant les programmes de surveillance américains.

En mars, Joe Biden et la présidente de la Commission européenne Ursula von der Leyen avaient annoncé avoir trouvé un accord de principe sur un nouveau cadre. «De solides mesures de protection sont désormais en place aux Etats-Unis pour permettre le transfert sûr de données personnelles de part et d’autre de l’Atlantique», a estimé le commissaire européen à la Justice Didier Reynders, qui a mené des négociations pendant plus d’un an avec la ministre américaine au Commerce Gina Raimondo. La vice-présidente de la Commission, chargée des valeurs et de la transparence, Vera Jourova, a souligné que le nouveau cadre était aussi «bénéfique pour les entreprises et renforcerait la coopération transatlantique». Cette «décision d’adéquation» – établissant qu’un pays tiers assure un niveau de protection adéquat des données à caractère personnel – doit encore recueillir l’avis du Comité européen de la protection des données (EDPB), du Parlement européen et l’approbation des Etats membres.

La nouvelle décision a toutes les chances d’être à nouveau contestée devant la justice, a réagi Max Schrems, juriste et militant autrichien pour le respect de la vie privée, à l’initiative des recours précédents devant la Cour de justice de l’Union Européenne.

«Nous allons analyser le projet de décision en détail dans les prochains jours (mais) étant donné qu’il est basé sur le décret (américain) que l’on connaît, je ne vois pas comment il pourrait échapper à un recours devant la Cour de justice» de l’UE», a-t-il déclaré. Son ONG, NYOB, avait jugé «minimes» les changements apportés par le décret américain.

L’association CCIA, représentant l’industrie de la tech, a en revanche salué la décision de la Commission. «Nous exhortons les Etats membres de l’UE à l’approuver sans délai, afin de restaurer une sécurité juridique pour les entreprises de part et d’autre de l’Atlantique», a déclaré Alexandre Roure, directeur de la politique publique de CCIA Europe.

Après l’invalidation du mécanisme précédent, le «Privacy Shield», en juillet 2020, les entreprises du web comme Facebook ou Google se sont rabattues pour transférer les données sur les «clauses contractuelles type» (SCC), qui offrent moins de garanties juridiques, et font aussi l’objet de nombreux recours de NOYB.