Les grandes entreprises technologiques comme Facebook et Google peuvent continuer à transférer les données personnelles de leurs utilisateurs européens vers les États-Unis, selon une décision de la Commission européenne qui estime que « les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l'Union européenne – pour les données à caractère personnel transférées de l'UE vers des entreprises américaines au titre du nouveau cadre ». Une décision qui intervient malgré les protestations des défenseurs de la vie privée qui s'inquiètent de la surveillance du gouvernement américain.La Commission indique que « sur la base de la nouvelle décision d'adéquation, les données à caractère personnel peuvent circuler en toute sécurité de l'UE vers des entreprises américaines participant au cadre, sans qu'il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données ».
En mai, le propriétaire de Facebook, Meta, a été condamné à une amende de 1,2 milliard d'euros pour avoir enfreint le règlement général sur la protection des données (RGPD) avec des transferts de données personnelles vers les États-Unis et a reçu l'ordre de cesser de stocker les données des utilisateurs de l'Union européenne aux États-Unis dans un délai de six mois. Meta a déclaré à l'époque que si le pacte de transfert de données en attente « entre en vigueur avant l'expiration des délais de mise en œuvre, nos services peuvent continuer comme ils le font aujourd'hui sans aucune interruption ni impact sur les utilisateurs ».
Selon le Wall Street Journal, l'accord de transfert de données devrait faire face à une contestation judiciaire de la part des défenseurs européens de la vie privée, qui disent depuis longtemps que les États-Unis doivent apporter des modifications substantielles aux lois sur la surveillance. Les transferts de données de l'Europe vers les États-Unis sont remis en question depuis qu'un tribunal de l'UE a statué en 2020 qu'un précédent accord autorisant les flux de données transatlantiques était illégal parce que les États-Unis n'ont pas donné aux individus de l'UE un moyen efficace de contester la surveillance de leurs données par le gouvernement américain.
Les États-Unis consentent à des améliorations
Dans son annonce, la Commission a souligné que le cadre de protection des données UE - États-Unis introduit de nouvelles garanties contraignantes pour répondre à toutes les préoccupations soulevées par la Cour de justice de l'Union européenne, notamment en limitant l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné, et en instituant une Cour chargée du contrôle de la protection des données (Data Protection Review Court - DPRC), à laquelle les citoyens de l'Union auront accès.
« Le nouveau cadre apporte d'importantes améliorations par rapport au mécanisme qui existait dans le cadre du bouclier de protection des données. Par exemple, si la DPRC constate que des données ont été collectées en violation des nouvelles garanties, elle sera en mesure d'ordonner la suppression des données. Les nouvelles garanties dans le domaine de l'accès des pouvoirs publics aux données compléteront les obligations auxquelles les entreprises américaines qui importent des données en provenance de l'UE devront souscrire ».
La présidente Ursula von der Leyen a fait la déclaration suivante: «Le nouveau cadre de protection des données UE - États-Unis garantira une circulation sécurisée des données aux Européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique. À la suite de l'accord de principe auquel je suis parvenue avec le président Biden l'an dernier, les États-Unis ont mis en œuvre des engagements sans précédent pour établir le nouveau cadre. Aujourd'hui, nous prenons une mesure importante pour donner confiance aux citoyens quant à la sécurité de leurs données, pour approfondir les liens économiques entre l'UE et les États-Unis et, dans le même temps, pour réaffirmer nos valeurs communes. Cela montre qu'en travaillant ensemble, nous pouvons nous attaquer aux questions les plus complexes.»
Les entreprises américaines pourront adhérer au cadre de protection des données UE - États-Unis en s'engageant à respecter un ensemble détaillé d'obligations en matière de protection de la vie privée, comme l'obligation de supprimer les données à caractère personnel lorsqu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, et d'assurer la continuité de la protection lorsque des données à caractère personnel sont partagées avec des tiers.
Les citoyens de l'UE bénéficieront de plusieurs voies de recours en cas de traitement incorrect de leurs données par des entreprises américaines. Il s'agit notamment de mécanismes indépendants de règlement des litiges et d'un panel spécial d'arbitrage.
En outre, le cadre juridique américain prévoit un certain nombre de garanties en ce qui concerne l'accès des pouvoirs publics des États-Unis aux données transférées au titre du cadre, en particulier à des fins d'application du droit pénal et de sécurité nationale. L'accès aux données est limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.
Les citoyens de l'UE auront accès à un mécanisme de recours indépendant et impartial en ce qui concerne la collecte et l'utilisation de leurs données par les services de renseignement américains, qui comprend une Cour d'examen de la protection des données (Data Protection Review Court - DPRC) nouvellement créée. La Cour examinera et tranchera les réclamations de manière indépendante, y compris en adoptant des mesures correctives contraignantes.
Les garanties mises en place par les États-Unis faciliteront également, de manière plus générale, les flux de données transatlantiques, étant donné qu'elles s'appliquent également lorsque les données sont transférées au moyen d'autres outils, tels que des clauses contractuelles types et des règles d'entreprise contraignantes.
La Commission fédérale du commerce des États-Unis veillera au respect des règles par les entreprises américaines
L'article 45, paragraphe 3, du règlement général sur la protection des données confère à la Commission le pouvoir de décider, par voie d'actes d'exécution, qu'un pays tiers assure « un niveau de protection adéquat » - un niveau de protection des données à caractère personnel substantiellement équivalent à celui garanti au sein de l'UE. Les décisions constatant le caractère adéquat du niveau de protection ont pour effet de permettre le transfert libre de données à caractère personnel de l'UE (ainsi que de la Norvège, du Liechtenstein et de l'Islande) vers un pays tiers sans autre obstacle.
Après l'invalidation par la Cour de justice de l'Union européenne de la précédente décision d'adéquation relative au bouclier de protection des données UE - États-Unis, la Commission européenne et le gouvernement américain ont entamé des discussions sur un nouveau cadre qui répondait aux préoccupations soulevées par la Cour.
En mars 2022, la présidente von der Leyen et le président Biden ont annoncé qu'ils étaient parvenus à un accord de principe sur un nouveau cadre pour les flux de données transatlantiques, à la suite de négociations entre le commissaire Reynders et la secrétaire américaine au Commerce, Mme Raimondo. En octobre 2022, le président Biden a signé un décret présidentiel sur le renforcement des garanties applicables aux activités de renseignement d'origine électromagnétique menées par les États-Unis, qui a été complété par des règles adoptées par le procureur général des États-Unis, M. Garland. Ensemble, ces deux instruments ont permis la mise en œuvre des engagements pris par les États-Unis en vertu de l'accord de principe dans le droit américain et ont complété les obligations incombant aux entreprises américaines en vertu du cadre de protection des données UE - États-Unis.
Un élément essentiel du cadre juridique américain consacrant ces garanties est le décret américain sur le renforcement des garanties applicables aux activités de renseignement d'origine électromagnétique menées par les États-Unis (Enhancing Safeguards for United States Signals Intelligence Activities), qui répond aux préoccupations exprimées par la Cour de justice de l'Union européenne dans sa décision Schrems II de juillet 2020.
Le cadre est géré et contrôlé par le ministère américain du Commerce. La Commission fédérale du commerce des États-Unis veillera au respect des règles par les entreprises américaines.
Les entreprises américaines en faveur de cet accord
Google a soutenu l'accord, écrivant l'année dernière que « le gouvernement américain s'est maintenant engagé à mettre en place des systèmes qui permettront une réparation indépendante et significative pour les personnes dans l'UE, renforceront les garde-fous et la proportionnalité de la collecte de renseignements américains, et assureront une surveillance efficace de ces nouveaux renseignements personnels et normes en matière de libertés civiles d'une manière qui réponde aux préoccupations exprimées par la Cour de justice de l'Union européenne ». Google a également déclaré que l'accord fournit « une base fiable et durable pour l'avenir des services Internet des deux côtés de l'Atlantique ».
Un défenseur des droits prévoit déjà de faire appel
Les précédents accords sur les données connus sous le nom de Safe Harbor et Privacy Shield ont été annulés par les tribunaux européens. Max Schrems, qui en a été à l'origine, a déclaré qu'il prévoyait également de contester le dernier accord.
« Nous aurions besoin de changements dans la loi américaine sur la surveillance pour que cela fonctionne et nous ne l'avons tout simplement pas », a déclaré Schrems.
La membre du Parlement européen Birgit Sippel, membre du Parti social-démocrate allemand, a déclaré que « le cadre ne fournit aucune garantie significative contre la surveillance aveugle menée par les agences de renseignement américaines ».
L'approbation de l'accord par la CE a été saluée par la Computer & Communications Industry Association, qui représente Amazon, Apple, eBay, Google, Meta, Twitter et d'autres entreprises technologiques. « La décision d'aujourd'hui signifie que les entreprises de l'UE et des États-Unis auront bientôt à nouveau la pleine sécurité juridique pour transférer des données personnelles à travers l'Atlantique... Les flux de données sont vitaux pour le commerce transatlantique et la relation économique UE-États-Unis, qui représente 5*500*milliards d'euros par an. Néanmoins, les deux économies se sont retrouvées sans directives pour les transferts de données après qu'une décision de la Cour de l'UE a invalidé le cadre précédent en 2020 », a déclaré le groupe.
Sources : Commission européenne, ministère américain du Commerce, Google, Computer & Communications Industry Association
Et vous ?
Que pensez-vous des bases de cet accord ? Partagez-vous le point de vue de Max Schrems qui souhaite une modification de la loi américaine sur la surveillance pour donner toutes ces chances à cet accord ? Cela est-il susceptible d'arriver selon vous ? 
Envoyé par Jon Shannow
