Il y a un peu plus d’un mois, le président Joe Biden a signé un décret mettant en œuvre l’« accord de principe » annoncé au printemps entre l’Union européenne et les Etats-Unis. Ce dernier doit organiser le nouveau cadre autorisant le transfert de données personnelles entre les deux rives de l’Atlantique après qu’il ait été invalidé en 2020 par la Cour de justice de l’Union européenne.
Il y a quelques mois, nous avions déjà émis l’hypothèse que l’accord paraît difficile à être adopté des deux parties tant que les Etats-Unis n’auront pas réformé leur législation. Peut-on alors considérer que cette réforme a eu lieu avec le décret Biden ?
Le nouveau cadre est la troisième tentative de parvenir à un accord entre les deux cadres juridiques de protection des données personnelles de part et d’autre de l’océan Atlantique. Après la signature du président des Etats-Unis, il revient maintenant à l’Union européenne d’adopter définitivement à son tour l’accord.
Une nouvelle Cour du côté des Etats-Unis
Le communiqué de presse de la Maison Blanche a déclaré que le décret exécutif du président Biden renforce les garanties autour du « renseignement numérique » pratiqué par les agences d’espionnage étasuniennes.
Le décret engage la création d’un mécanisme de recours à plusieurs niveaux. Il permettra aux citoyens de l’Union européenne de recourir à une nouvelle Cour d’examen de la protection des données personnelles dépendant du ministère de la Justice américain.
A ce stade, la question qui se pose est la suivante : quel est le statut de cette Cour dans l’ordre juridique étasunien ? Autrement dit, est-ce qu’elle sera compétente, ou non, pour faire respecter et défendre les droits des citoyens de l’Union européenne. A l’heure, actuelle personne n’est en mesure d’assurer que ce sera le cas.
Des « améliorations significatives » encore à valider par l’Union européenne
De son côté, la Commission européenne a déclaré que le décret contient des « améliorations significatives » par rapport aux mécanismes de l’accord précédent, le Privacy Shield. Elle remarque que des garanties nouvelles en termes de protection des données personnelles sont apparues.
L’accord de principe doit maintenant être examiné à l’aune du décret du président Biden par plusieurs instances de l’Union européenne, notamment le Parlement européen et le Comité européen de la protection des données. Dans tous les cas, la décision finale appartiendra à la Commission européenne.
L’avis des experts dans le domaine
Néanmoins, il faudra surtout tenir compte de l’avis de Max Schrems. En effet, c’est cet avocat, militant européen de la protection de la vie privée, qui est à l’origine des précédentes contestations judiciaires qui ont rendu caduc le Privacy Shield et le Safe Harbor.
A la suite de la publication du décret Biden, il remarque que « le « tribunal » n’est pas un vrai tribunal […] il ne s’agira pas d’une « Cour » au sens juridique normal de l’article 47 de la Charte ou de la Constitution américaine, mais d’un organe relevant du pouvoir exécutif du gouvernement américain. Le nouveau système est une version améliorée du précédent système de « médiateur », qui a déjà été rejeté par la Cour de justice de l’Union européenne. Il semble évident que cet organe exécutif n’équivaudrait pas à un « recours juridictionnel » comme l’exige la Charte de l’Union européenne ».
Par ailleurs, il remarque que les deux parties, les Etats-Unis et l’Union européenne, ont convenu d’utiliser des mots communs, mais qu’elles ne sont pas d’accord sur leur signification…
En conclusion, Max Schrem a déclaré qu’il allait « analyser ce [décret] en détail, ce qui prendra quelques jours. À première vue, il semble que les questions essentielles sur le transfert des données personnelles n’ont pas été résolues.
Acter sur le flux des données personnelles des entreprises
Face aux pouvoirs politiques, notons que les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) attendent avec impatience ce nouvel accord. En effet, l’absence d’accord formel remet en cause la légalité de leurs activités. Rappelons-nous que cet été, Facebook avait menacé de fermer son réseau social et Instagram en Europe. De son côté, Google a dû faire face à de nombreuses plaintes en Europe visant les utilisateurs de Google Analytics.
Par ailleurs, des milliers de petites entreprises ont également besoin de sécurité juridique concernant leurs transferts de données personnelles outre Atlantique.
Si de nombreux acteurs de la Tech américaine ont salué le décret Biden et ont exhorté l’Union européenne à l’adopter rapidement, d’autres sont plus mitigés. Ainsi, l’Organisation européenne des consommateurs a averti dans un communiqué qu’il existe encore « des différences fondamentales dans le niveau de protection de la vie privée et des données aux États-Unis et dans l’Union européenne qui restent trop importantes pour être compensées, malgré les garanties supplémentaires proposées par la partie américaine ».
Pour notre part, nous exhortons la Commission européenne à prendre le temps nécessaire pour examiner à la loupe le décret. L’examination doit avoir avec un seul objectif : protéger les données personnelles des Européens.
Enfin, le fait que sa décision aurait dû être prise cet automne et est maintenant attendue au printemps 2023, n’a aucune espèce d’importance compte tenu des enjeux – notre liberté !
0 commentaires