L’Union européenne, par la voix d’Ursula van der Leyen, et les États-Unis, par celle de Joe Biden, annoncent un « accord de principe » sur un nouveau cadre autorisant le transfert de données personnelles entre les deux rives de l’Atlantique. Malheureusement, tant que les Etats-Unis n’auront pas réformé leur législation, l’accord annoncé risque fort d’être un accord mort-né.
Plusieurs accords déjà établis entre ces deux puissances
En 2013, le lanceur d’alerte Edward Snowden révèle l’étendue de la surveillance faite en secret par les États-Unis – écoutes téléphoniques, interceptions d’e-mails, espionnage d’entreprises et de gouvernements alliés. En plus d’une conception différente du statut de la donnée privée entre les Américains qui voient les données personnelles comme des biens marchands qui peuvent être vendus et achetés par celui qui les détient et les Européens qui considèrent, a contrario, que les données personnelles sont des biens privés dont l’exploitation est soumise à l’autorisation de leurs propriétaires, les données des internautes européens sont donc peu ou pas protégées.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalide le Safe Harbor, un accord signé entre Bruxelles et Washington pour permettre aux entreprises et organisations américaines de se conformer à la directive européenne sur la protection des données. Face à cette décision et aux enjeux économiques gigantesques – il s’agit, ni plus, ni moins, que de permettre aux GAFAM, notamment, d’opérer dans les pays de l’Union européenne – un nouveau cadre est mis en place en 2016, le Privacy Shield. Largement critiqué par de nombreux acteurs, tant institutionnels qu’issus de la société civile, il est à nouveau attaqué par l’activiste autrichien militant pour la protection des données, Max Schrem, qui obtient son invalidation en 2020. La CJUE considère que la réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux ».
Que vaut le dernier accord sur le transfert des données ?
C’est dans ce contexte d’une double invalidation des accords UE-USA par la CJUE, qu’intervient cette annonce d’un troisième accord par Ursula von der Leyen et Joe Biden. A ce stade, qu’en sait-on ?
Ce n’est qu’une annonce politique, un « accord de principe » ; il n’y a pas de texte analysable. Il faut attendre encore quelques mois pour disposer d’une première version. Les deux parties doivent trouver des solutions aux problèmes soulevés par la CJUE, ce qui n’a pas été le cas jusqu’à présent et ce, malgré deux années de discussions.
Un accord déjà critiqué par les experts
Ce que Max Schrem entend, c’est que les États-Unis ne prévoient pas de modifier leurs lois sur la surveillance, mais seulement de donner des assurances « proportionnées ». Notons que c’est à propos de celles-ci que les deux derniers accords ont échoué. Il ne semble donc pas y avoir de mise à jour du Privacy Shield pour l’utilisation commerciale des données personnelles et ce, malgré l’entrée également en vigueur du Règlement général sur la protection des données en 2016.
Par ailleurs, il faut tenir compte du fait que tout nouvel accord ne sera pas un accord bilatéral, mais une décision de la Commission européenne qui devra d’abord être examinée par le comité européen de la protection des données (CEPD). En attendant, les entreprises ne pourront pas s’en prévaloir, ce qui aussi prendra du temps.
L’association de protection de la vie privée (None Of Your Business – NOYB), co-fondée par Max Schrem, a déclaré qu’« Une fois que (le texte final) arrivera, nous l’analyserons en profondeur […] S’il n’est pas conforme au droit de l’UE, nous […] le contesterons probablement […] la Cour de justice se prononcera une troisième fois […] Il est regrettable que l’UE et les États-Unis n’aient pas utilisé cette situation pour parvenir à un accord de » non-espionnage « , avec des garanties de base entre des démocraties partageant les mêmes idées. Les clients et les entreprises font de nouveau face à des années d’incertitude juridique. »
Ainsi, il apparait que sans réforme de fond aux Etats-Unis, ce nouvel accord annoncé risque, comme le Safe Harbor et le Privacy Shield, d’être un échec. On peut le regretter.
Mais on peut surtout s’étonner qu’au moment même où l’Union européenne va voter le Digital Market Act, dans le même temps, elle semble s’engager à nouveau dans un accord qui s’apparentera à brader nos données privées. Est-ce donc ça que la Commission européenne appelle la « souveraineté numérique » ? En dehors d’un slogan, c’est honteux.
Thomas Fauré, Fondateur de Whaller.
0 commentaires