Transfert transatlantique des données personnelles : Joe Biden signe un décret salué par Bruxelles
Six mois après l’annonce d’un accord politique entre Bruxelles et Washington, sur les transferts des données personnelles entre l’UE et les Etats-Unis, le président américain a signé un décret visant à donner des garanties aux Européens.
Le président américain Joe Biden a signé ce 7 octobre un décret permettant d’avancer dans la mise en œuvre d’un nouveau cadre pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis, présenté comme crucial pour l’économie numérique états-unienne. Le commissaire européen à la Justice Didier Reynders a aussitôt salué une « étape importante ». Les géants de la Tech se sont également félicités d’une telle mesure.
Fin mars, Washington et Bruxelles avaient trouvé un accord de principe sur ce dossier de longue date, de précédentes moutures ayant été retoquées par la Cour de justice de l’Union européenne (CJUE) en raison de craintes sur les programmes de surveillance américains. La signature du décret par le président américain va permettre à la Commission européenne de commencer son propre processus de ratification, qui devrait prendre plusieurs mois.
« Il s’agit de l’aboutissement de nos efforts conjoints pour restaurer la confiance et la stabilité des flux de données transatlantiques », s’est félicitée la secrétaire américaine au Commerce, Gina Raimondo, lors d’un briefing avec des journalistes.
Cette ordonnance présidentielle offrirait des garanties aux Européens, en créant un organe au sein du Département de la justice (DoJ) chargé de superviser la manière dont les agences de renseignement américaines auront accès et utiliseront les données des citoyens européens et américains.
La Commission européenne et les GAFAM applaudissent
Elle crée également un mécanisme indépendant et contraignant permettant aux individus des Etats éligibles de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. Ce mécanisme prévoit deux niveaux de recours, l’un auprès d’un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l’autre auprès d’un tribunal indépendant formé par le DoJ.
« Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l’Union européenne et couvriront les transferts de données personnelles vers les États-Unis en vertu du droit de l’UE », a affirmé Gina Raimondo.
En juillet 2020, la Cour avait estimé que le « Privacy Shield », utilisé par 5 000 entreprises américaines, dont les géants comme Google ou Amazon, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données sont transférées ». L’affaire avait été lancée par une plainte contre Facebook de Max Schrems, figure de la lutte pour la protection des données, déjà à l’origine de l’arrêt de 2015 sur l’ancêtre du « Privacy Shield », « Safe Harbor ».
Depuis la fin des années 90, où cet accord dit « Safe Harbor » avait été négocié entre l’Union européenne et le Département du commerce américain, les autorités outre-Atlantique n’ont eu de cesse d’assouplir ses loi sur la protection des données.
Du Patriot Act au Cloud Act, respectivement adoptés en 2001 et 2018, en passant par l’amendement de 2008 au Foreign Intelligence Surveillance Act, les agences fédérales américaines ont obtenu un accès toujours plus grand aux données personnelles qu’elles soient stockées sur le sol américain ou dans le monde sur les serveur d’entreprises américaines.
Les révélations d’Edward Snowden, en 2013, sur le programme de surveillance PRISM qui impliquait les géants du web américains, n’ont clairement pas contribué à maintenir la confiance entre deux rives de l’Atlantique. Tant et si bien que le Comité européen de la protection des données (CEPD), organisme qui réunit la Commission nationale de l’informatique et des libertés (CNIL) et ses semblables européennes, avait fait part d’une certaine réserve après l’annonce de l’accord-cadre.
Numérique : vers une nouvelle dépendance des Européens vis-à-vis des Américains ?
Les deux arrêts de la CJUE avaient plongé dans le flou juridique les entreprises opérant dans l’UE qui transfèrent ou font héberger des données outre-Atlantique. Elles ont depuis eu recours à des solutions alternatives, à la légalité plus incertaine, pour continuer ces transferts, dans l’attente d’un système plus solide et pérenne.
Ainsi, en France, la CNIL avait ainsi jugé en février 2022 illégal le transfert de données vers les Etats-Unis via Google Analytics, une fonctionnalité utilisée par de nombreux sites web. Elle avait également poussé le gouvernement français à renoncer aux services de Microsoft pour héberger la Plateforme des données de santé (PDS) qui ambitionnait de centraliser les données médicales des Français.
Là où certains ont perçu une opportunité pour les Européens de développer leurs propres solutions, souveraines, les géants américains du numérique ont quant à eux dénoncé une aberration économique.
Dans un rapport annuel adressé à l’US Securities and Exchange Commission (SEC), Meta (maison mère de Facebook, ndlr.) réitérait le caractère crucial de pouvoir transférer et traiter sur le sol américain les données de ses clients européens. La firme Mark Zuckerberg mettait alors en garde que si aucun accord était rapidement trouvé entre Bruxelles et Washington, elle pourrait avoir à fermer ses activités en Europe.
« L’opinion de la CJUE l’emportera et tuera une nouvelle fois cet accord »
Du côté américain, une troisième bataille juridique n’est pas exclue. Lors du briefing de ce 7 octobre, des responsables de l’administration Biden ont reconnu qu’il était possible que la nouvelle version soit de nouveau attaquée en justice. Mais celle-ci aurait été conçue pour répondre aux précédentes réserves de la justice européenne, assurent-ils.
Quant à Max Schrems, à l’origine de l’invalidation des deux premiers accord, il a estimé à « 90% » la probabilité d’attaquer en justice ce troisième accord en devenir. « Nous devons d’abord l’analyser en détail, ce qui va nous prendre quelques jours. De prime abord, il semble que les questions centrales ne sont pas résolues et le dossier sera de retour devant la justice tôt ou tard », a-t-il également réagi dans un communiqué.
« La surveillance de masse va continuer […] A la fin, l’opinion de la CJUE l’emportera – et tuera une nouvelle fois cet accord », prédit Max Schrems. « La Commission européenne ferme les yeux sur la loi américaine, permettant la poursuite de l’espionnage des Européens », a-t-il fustigé.
Au niveau européen, la procédure ne devrait pas se conclure avant le « printemps prochain ». Elle nécessite en effet d’obtenir l’avis du CEPD, du Parlement européen, ainsi que l’aval d’une majorité qualifiée des Etats membres (15 pays sur 27, représentant au moins 65% de la population européenne).