Les entreprises vont-elles enfin pouvoir souffler après deux ans de galère pour transférer leurs données entre l'Union européenne et les Etats-Unis ? Le président américain, Joe Biden, a signé en fin de semaine dernière un nouveau décret exécutif qui présente ce qui pourrait devenir, d'ici à la mi-2023, le nouveau cadre légal tant attendu depuis l'invalidation, en juillet 2020, du Privacy Shield. A l'époque, la Cour de justice de l'Union européenne (CJUE) avait estimé que ce cadre légal, utilisé par plus de 5.000 entreprises dont des géants comme Google ou Amazon mais aussi par des Français, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». Depuis, les entreprises concernées, pour lesquelles l'échange de données est vital, procédaient hors de tout cadre légal, dans l'incertitude la plus totale. Une situation intenable.
L'annonce d'un nouvel accord est-elle enfin synonyme de sortie de crise ? Pas si vite. Le problème de fond n'est pas encore tranché. Il s'agit de l'incompatibilité juridique profonde entre le RGPD européen et les pratiques de surveillance de masse du renseignement américain, y compris en Europe, au nom de leur sécurité nationale. C'est parce que le RGPD semble insoluble dans la loi américaine que l'activiste autrichien Max Schrems, de l'ONG None of Your Business, a réussi à faire invalider par deux fois le cadre légal sur le transfert des données. D'abord le Safe Harbor, en 2015. Puis son successeur, le Pricacy Shield, en 2020.
Pour sortir du bourbier, ce troisième cadre légal doit absolument réussir le grand écart qui consiste à concilier les exigences européennes en matière de protection des données, avec la volonté américaine de ne pas toucher aux lois qui l'autorisent à pratiquer la surveillance de masse. Des compromis acceptables par les deux parties, qui préserveraient les principes de chacun, sont-ils possibles ? C'est tout l'enjeu du nouveau texte, fruit d'un an et demi de négociations entre les Etats-Unis et l'Union européenne, qui avaient déjà abouti en mars à l'annonce d'un accord de principe.
Des nouvelles garanties dans le nouveau texte
Présenté comme « l'aboutissement d'efforts conjoints » entre les deux puissances, le décret signé par Joe Biden prévoit des garde-fous supplémentaires par rapport au Privacy Shield. Le texte précise ainsi que l'accès, par les agences de renseignement américaines, à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, devra être limité à ce qui est « nécessaire » et « proportionné » vis-à-vis de la sécurité nationale américaine. « C'est une avancée majeure par rapport au Privacy Shield car pour la première fois, les Etats-Unis parlent le langage de l'Europe en intégrant les notions de proportionnalité et de nécessité dans la collecte de données, qui leur étaient totalement étrangères car ils n'ont aucun RGPD au niveau fédéral », relève Sonia Sissé, avocate spécialisée en droit des technologies chez Linklaters.
Le texte ouvre surtout la possibilité aux ressortissants européens d'agir s'ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. Là encore, c'était ce qu'il manquait au Privacy Shield, d'après l'arrêt de la CJUE. Dans le nouveau texte, un mécanisme de recours à deux niveaux est créé : le premier est la possibilité pour une entreprise ou un citoyen européen de saisir un « responsable de la protection des libertés civiles » placé sous la responsabilité du directeur du renseignement national américain, s'il estime avoir fait l'objet d'une collecte de données abusive. Et, en cas de désaccord, il a la possibilité de saisir dans un second temps la Cour d'examen de la protection des données, un tribunal présenté comme indépendant, placé sous l'autorité du ministère américain de la Justice, qui devra trancher.
Un vrai effort, mais une fracture trop profonde ?
Désormais, la balle est dans le camp de l'UE. La Commission européenne doit examiner le texte et décider si elle l'accepte ou non. La décision est attendue d'ici au printemps prochain, le temps, notamment, de consulter les autorités européennes de la protection des données, dont la Cnil française qui s'est montrée particulièrement agressive à l'égard des entreprises américaines qui transfèrent des données hors cadre légal, notamment Google Analytics, dont l'utilisation a été rendue illégale en début d'année. Au terme de ces consultations, l'UE remettra un « projet de décision d'adéquation » sur la base de l'article 45 du RGPD. « Si l'UE accepte le texte américain, un nouvel accord entrera en vigueur et il sera peut-être attaqué encore devant la CJUE. Si l'UE refuse ou demande des garanties supplémentaires, le texte repartira en négociations pendant plusieurs mois, ce qui prolongera l'insécurité juridique pour les entreprises », décrypte l'avocate Alexandra Iteanu, la responsable du pôle Data et RGPD pour le cabinet Iteanu.
Sur le papier, les concessions américaines sont majeures. « On a vraiment franchi un saut qualitatif important », s'est félicité le commissaire européen à la Justice, Didier Reynders, qui s'est dit « raisonnablement confiant » sur le fait que ce troisième texte est le bon. Même satisfecit du côté américain. « Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l'Union européenne en vertu du droit de l'UE », assure la secrétaire américaine au Commerce, Gina Raimondo
Mais les avocats experts consultés par La Tribune sont plus perplexes. « L'effort est réel, mais il ne me paraît pas suffisant », tranche Alexandra Iteanu. Et de citer les « zones opaques » du système de recours à double niveau pour les citoyens et entreprises européens, s'ils suspectent une collecte illégale de leurs données.
« Il est clairement écrit dans le texte que la Cour d'examen de la protection des données ne peut pas confirmer auprès du plaignant s'il y a bien eu une demande de la part des services de renseignement américain. Ce n'est donc pas la transparence ni l'impartialité qu'on peut attendre d'un tribunal indépendant. On peut aussi s'interroger sur l'accessibilité d'une procédure longue, coûteuse, avec un juge américain plutôt qu'européen, et une loi basée sur la primauté de la sécurité nationale sur les droits des citoyens, alors que c'est l'inverse en Europe », poursuit l'avocate.
Pour l'avocat spécialisé Pierre-Emmanuel Frogé, du cabinet BCLP, le diable se cache dans les détails, c'est-à-dire les conditions d'application du texte, qui ne sont pas encore connues. « Le décret prend en compte le RGPD mais au-delà d'en reprendre les mots, il faut aussi en reprendre l'esprit pour s'inscrire dans son cadre. Il faut définir clairement ce qui se cache derrière la notion de nécessité et de proportionnalité du côté américain, sachant que les Etats-Unis sont beaucoup plus permissifs sur la collecte des données », rappelle-t-il.
« Un Schrems 3 serait une humiliation que personne ne peut se permettre »
Les nouvelles garanties apportées par les Etats-Unis suffiront-elles, malgré leurs limites, pour pousser la Commission européenne à accepter l'accord en l'état ? « C'est possible mais on reste sur une certaine opacité malgré tout, relève Sonia Sissé, du cabinet Linklaters. Et de poursuivre : il est possible que l'UE refuse l'accord tout en émettant des recommandations pour l'améliorer. Il peut encore y avoir un aller-retour pour trouver le point d'équilibre ».
De son côté, Alexandra Iteanu ne croit pas en l'adoption en l'état. « Le texte actuel ne présente pas des garanties suffisantes pour passer l'obstacle de la Cour de justice européenne en cas d'adoption », estime l'avocate. Enfin, Pierre-Emmanuel Frogé, de BCLP, affiche son scepticisme. « La fracture entre le RGPD européen et les lois de surveillance de masse américaines est si profonde qu'il va falloir examiner s'il est possible de l'atténuer suffisamment, dans l'application concrète de ce texte, pour que les deux parties s'en contentent », énonce-t-il.
Pour Sonia Cissé, même s'il faut encore passer par une étape de négociations, un nouvel accord sur les transferts de données est inévitable. « Un Schrems 3 [une nouvelle décision de la CJUE annulant le prochain accord, Ndlr] serait une humiliation que personne ne peut se permettre. Les Etats-Unis ont trop besoin de nos données pour que la répétition du scénario d'un accord cassé dans la foulée par la CJUE soit acceptable », croit-elle.
C'est en tout cas une possibilité qu'on ne peut, à ce jour, exclure. Max Schrems, dont les recours en justice avaient débouché sur l'annulation des deux précédents cadres légaux, a indiqué qu'il y avait « 90% de chances » pour que son ONG intente une nouvelle action en justice contre le futur mécanisme, s'il est accepté en l'état par l'Union européenne.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés