Joe Biden pave la voie du "Privacy Shield 2.0" avec un décret exécutif pour codifier l'organisation du transfert de données US-UE

Mais un défenseur de la vie privée en souligne déjà les limites

Plus de six mois après un « accord de principe » entre l'UE et les États-Unis, le président américain Joe Biden a signé le décret exécutif tant attendu qui vise à respecter les arrêts passés de la Cour européenne de justice (CJUE). Avec de décret, Joe Biden voudrait surmonter les limitations des transferts de données entre l'UE et les États-Unis.

Le décret est donc conçu pour codifier les accords que l'UE et l'Amérique ont conclus plus tôt cette année qui rétabliraient le Privacy Shield, bien que la version 2.0 de celui-ci. Il s'agit d'un framework qui définit comment, quand et quelles données des citoyens sont envoyées à l'étranger, entre l'Europe et l'Amérique.

Selon Joe Biden, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Indirectement, le président américain évoque l’application de lois américaines, telles que le Cloud Act, qui permettent aux agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines.

Toutefois, selon un défenseur de la vie privée qui a rejeté les réglementations précédentes devant les tribunaux, ce décret exécutif signé par le président Biden pourrait ne pas répondre aux exigences de l'UE.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur dès le 1^er août 2016.

Puis est venu le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.

Maximillian Schrems, ressortissant autrichien résidant en Autriche et défenseur des droits numériques, a lancé une plainte contre Facebook qui a conduit la Cour de Justice de l'Union européenne (CJUE) à annuler la validité de Privacy Shield, en partie parce que les citoyens de l'UE n'avaient pas de moyen de s'opposer à la collecte de leurs données par le gouvernement américain s'ils estimaient que leurs données avaient été collectées de manière inappropriée.

L'ordonnance de Biden vient résoudre ces problèmes en limitant la manière dont les renseignements électromagnétiques peuvent être recueillis par les agences d'espionnage américaines et en plaçant la collecte d'informations derrière plusieurs couches de conditions, notamment en veillant à ce que seules des données étroitement adaptées soient collectées.

Le nouveau framework met également en place un tribunal de révision de la protection des données composé d'employés non gouvernementaux pour entendre les cas des citoyens de l'UE, à condition que leurs plaintes soient d'abord transmises à l'équipe des libertés civiles du bureau du directeur du renseignement national pour examen.

La Maison-Blanche explique que :

« Les flux de données transatlantiques sont essentiels à la relation économique entre l’UE et les États-Unis, qui représente 7 100 milliards de dollars. Le Data Privacy Framework (DPF) UE-États-Unis rétablira une base juridique importante pour les flux de données transatlantiques en répondant aux préoccupations que la Cour de justice de l’Union européenne a soulevées en invalidant l’ancien framework du Privacy Shield UE-États-Unis en tant que mécanisme de transfert de données valide en vertu du droit communautaire.

« Le décret renforce un éventail déjà rigoureux de garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement électromagnétique des États-Unis. Il crée également un mécanisme indépendant et contraignant permettant aux individus des États éligibles et des organisations d'intégration économique régionale, tels que désignés dans le cadre de l'E.O., de demander réparation s'ils pensent que leurs données personnelles ont été collectées par le biais du renseignement électromagnétique américain d'une manière qui viole la loi américaine applicable.

« Les grandes et petites entreprises américaines et européennes de tous les secteurs de l'économie s'appuient sur les flux de données transfrontaliers pour participer à l'économie numérique et élargir les opportunités économiques. L'UE-États-Unis. Le DPF représente l'aboutissement d'un effort conjoint des États-Unis et de la Commission européenne pour rétablir la confiance et la stabilité dans les flux de données transatlantiques et reflète la force de la relation entre l'UE et les États-Unis fondée sur nos valeurs communes ».


Les points centraux du décret

En particulier, le décret exécutif :

• ajoute des garanties supplémentaires pour les activités de renseignement électromagnétique des États-Unis, notamment en exigeant que ces activités soient menées uniquement dans la poursuite d'objectifs de sécurité nationale définis ; prend en considération la vie privée et les libertés civiles de toutes les personnes, indépendamment de leur nationalité ou de leur pays de résidence ; ces activités de renseignement sont menées uniquement lorsque cela est nécessaire pour faire avancer une priorité validée en matière de renseignement et uniquement dans la mesure et d'une manière proportionnées à cette priorité ;
• mandate les exigences de traitement des informations personnelles collectées dans le cadre des activités de renseignement électromagnétique et étend les responsabilités des responsables juridiques, de la surveillance et de la conformité pour garantir que des mesures appropriées sont prises pour remédier aux incidents de non-conformité ;
• exige que les éléments de la communauté du renseignement des États-Unis mettent à jour leurs politiques et procédures afin de refléter les nouvelles garanties de confidentialité et de libertés civiles contenues dans l'E.O ;
• crée un mécanisme à plusieurs niveaux pour les individus des États éligibles et des organisations d'intégration économique régionale, tels que désignés conformément à l'E.O., pour obtenir un examen indépendant et contraignant et une réparation des réclamations selon lesquelles leurs informations personnelles collectées via le renseignement électromagnétique américain ont été collectées ou traitées par les États-Unis États en violation de la loi américaine applicable, y compris les garanties renforcées de l'E.O ;
• demande au Conseil de surveillance de la vie privée et des libertés civiles d'examiner les politiques et procédures de la communauté du renseignement pour s'assurer qu'elles sont conformes au décret et de procéder à un examen annuel du processus de recours, notamment pour vérifier si la communauté du renseignement s'est pleinement conformée aux décisions prises par le CLPO et le DPRC.

Des limites déjà soulignées

Cela dit, Schrems estime que le décret de Biden est peu susceptible de satisfaire au droit de l'UE, et il devrait le savoir – il a déjà mis fin aux versions précédentes. Selon Schrems, bien que certains termes aient pu changer dans le nouvel accord, l'UE et les États-Unis ne semblent toujours pas définir certains termes, tels que « proportionné », de la même manière.

« En fin de compte, la définition de la CJUE prévaudra, tuant probablement à nouveau toute décision de l'UE. La Commission européenne ferme à nouveau les yeux sur la législation américaine, pour permettre la poursuite de l'espionnage des Européens », a regretté Schrems.

NOYB, l'organisation de protection de la vie privée de Schrems, a déclaré dans sa réponse à l'EO de Biden que la Cour de révision de la protection des données n'était pas un véritable tribunal tel que défini légalement par la loi américaine, et a critiqué le nombre de recours pour les citoyens de l'UE, affirmant qu'il n'y avait aucune garantie supplémentaire qu'ils seraient entendus au-delà des frameworks précédents.

Et Schrems de déclarer : « Il est étonnant que l'UE et les États-Unis conviennent que les écoutes téléphoniques nécessitent une cause probable et une approbation judiciaire. Cependant, les États-Unis estiment que les étrangers n'ont pas le droit à la vie privée. Je doute que les États-Unis aient un avenir en tant que fournisseur de cloud dans le monde, si les personnes non américaines n'ont aucun droit en vertu de leurs lois. Il est contradictoire pour moi que la Commission européenne travaille sur un accord qui accepte que les Européens soient des citoyens de "seconde classe" et ne méritent pas les mêmes droits à la vie privée que les citoyens américains ».

« À première vue, il semble que les problèmes fondamentaux n'aient pas été résolus et cela reviendra tôt ou tard devant la CJUE , a déclaré Schrems.

Le Royaume-Uni et les États-Unis sont parvenus à un accord de partage de données la semaine dernière.

Sources : Maison-Blanche, NYOB

Et vous ?

Que pensez-vous des propositions de Joe Biden pour rétablir les échanges US-UE ?
Quelle lecture faites-vous des limites relevées par NYOB ?