Nouvelle lueur d'espoir pour les plus de 5.000 entreprises françaises et américaines -notamment les GAFAM- qui transfèrent quotidiennement des données entre l'Union européenne et les Etats-Unis. Mardi 13 décembre, la Commission européenne a entamé la procédure qui doit mener à un nouvel accord entre les deux puissances. Autrement dit, l'UE se dit confiante qu'un nouveau cadre légal, crucial pour l'économie numérique, peut être conclu après deux ans et demi de chaos juridique suite à l'invalidation, en 2020, du Privacy Shield par la Cour de justice européenne (CJUE).
L'UE salue les efforts américains
Cette étape fait suite à la signature, en octobre, d'un décret par le président américain Joe Biden prévoyant de nouveaux garde-fous pour limiter l'accès à ces données recueillies en Europe et traitées outre-Atlantique.
Présenté comme « l'aboutissement d'efforts conjoints » entre les deux puissances, le décret de Joe Biden ajoute à l'arsenal juridique des Etats-Unis que l'accès aux données, par les agences de renseignement américaines, devra être limité à ce qui est « nécessaire » et « proportionné » vis-à-vis de la sécurité nationale américaine. « C'est une avancée majeure par rapport au Privacy Shield car pour la première fois, les Etats-Unis parlent le langage de l'Europe en intégrant les notions de proportionnalité et de nécessité dans la collecte de données, qui leur étaient totalement étrangères car ils n'ont aucun RGPD au niveau fédéral », relevait pour La Tribune l'avocate Sonia Cissé, spécialisée en droit des technologies chez Linklaters. L'absence, dans le Privacy Shield, de ces notions cruciales dans le droit européen était l'une des raisons de la décision de la CJUE en 2020.
Le décret de Joe Biden ouvrait aussi la possibilité aux ressortissants européens d'agir s'ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. Là encore, c'était ce qu'il manquait au Privacy Shield, d'après l'arrêt de la CJUE. Ces deux garde-fous supplémentaires concédés par les Etats-Unis en octobre étaient la conséquence d'un accord de principe entre Joe Biden et la présidente de la Commission européenne, Ursula von der Leyen, annoncé en mars.
Pour Didier Reynders, le Commissaire européen à la Justice, le décret Biden semble suffisant pour ouvrir la voie à la validation d'un nouvel accord. « De solides mesures de protection sont désormais en place aux Etats-Unis pour permettre le transfert sûr de données personnelles de part et d'autre de l'Atlantique. Nous sommes maintenant confiants pour pouvoir passer à l'étape suivante de la procédure d'adoption », a-t-il déclaré mardi. Vera Jourova, la vice-présidente de la Commission européenne chargée des valeurs et de la transparence, a aussi souligné que le nouveau cadre serait « bénéfique pour les entreprises et renforcerait la coopération transatlantique », dans un contexte de dépendance accrue de l'UE envers son allié américain depuis la guerre en Ukraine.
Risque important de contestation en justice
Cette « décision d'adéquation » de l'UE, qui établit que les Etats-Unis disposent d'un niveau de protection adéquat des données à caractère personnel, doit encore recueillir l'avis favorable du Comité européen de la protection des données (CEPD), puis d'une commission formée par des représentants nationaux des Etats membres, avant d'être officiellement adoptée par le Parlement européen. Ces nouvelles étapes prendront encore plusieurs mois. Un nouvel accord n'est pas attendu avant l'été 2023, au mieux.
Et même dans le cas où ce nouveau Privacy Shield serait adopté, les experts juridiques estiment qu'il a de fortes chances d'être contesté -à nouveau !- en justice. « Comme le projet de décision est basé sur le décret présidentiel d'octobre, je ne vois pas comment cela pourrait survivre à une contestation devant la Cour de justice. Il semble que la Commission européenne ne fait qu'émettre des décisions similaires, encore et encore, ce qui constitue une violation flagrante de nos droits fondamentaux », a déclaré Max Schrems, l'avocat autrichien dont les plaintes, via son ONG None of your business (NOYB), ont fait tomber le Privacy Shield en 2020 et son prédécesseur, le Safe Harbor, en 2015.
L'ONG et d'autres avocats consultés par La Tribune jugent les changements apportés par Joe Biden « minimes » et pas de nature à résoudre le conflit juridique profond entre le RGPD européen d'un côté, et les lois extraterritoriales américaines, notamment le Cloud Act et la loi Fisa. Cette dernière étant nommément citée dans la décision de la CJUE de 2020, mais n'a pas été modifiée par les Etats-Unis.
Pour l'avocate Alexandra Iteanu, du cabinet Iteanu, les mécanismes de recours imaginés par Joe Biden n'offrent pas un niveau de transparence suffisant, ni l'impartialité que l'on peut attendre d'un tribunal indépendant, puisque le juge sera américain et que la loi américaine se fonde sur la primauté de la sécurité nationale sur les droits des citoyens, soit l'inverse de la conception européenne. L'avocat Pierre-Emmanuel Frogé, du cabinet BCLP, estimait de son côté qu'il manque encore de définir clairement « ce qui se cache derrière la notion de nécessité et de proportionnalité du côté américain, sachant que les Etats-Unis sont beaucoup plus permissifs sur la collecte des données ».
En revanche, la Computer and Communications Industry Association (CCIA), lobby des entreprises de la tech, s'est félicitée de la décision de la Commission. « Nous exhortons les Etats membres de l'UE à l'approuver sans délai, afin de restaurer une sécurité juridique pour les entreprises de part et d'autre de l'Atlantique », a déclaré Alexandre Roure, directeur de la politique publique de CCIA Europe. Depuis 2020, les entreprises comme Meta (Facebook) ou Google, qui ont besoin de transférer en permanence des données entre les deux continents, se sont rabattues sur des « clauses contractuelles type » (SCC), qui offrent moins de garanties juridiques, et qui font aussi l'objet de nombreux recours de NOYB. Une situation intenable... mais qui pourrait encore durer longtemps.
Dette de la France : le gouvernement face au verdict de Standard and Poor's (48)
Sujets les + commentés