Depuis l’invalidation du Safe Harbor puis celle du Privacy Shield en juillet 2020 par la Cour de justice de l’Union européenne (CJUE), les institutions européennes et les Etats-Unis n’ont de cesse de chercher un terrain d’entente sur la question du transfert transatlantique de données. Fin mars 2022, les Etats-Unis et l’UE ont signé un accord de principe sur un autre texte concernant ce sujet, marquant une avancée dans le débat. La présidente de la Commission européenne, Ursula von der Leyen avait alors précisé « nous sommes parvenus à trouver un équilibre entre la sécurité et le droit à la vie privée et à la protection des données ». De son côté, le président américain mettait en avant l’impact économique d’un tel accord, « qui contribue à faciliter les relations économiques avec l'UE, d'une valeur de 7 100 milliards de dollars ».
Le 7 octobre dernier, Joe Biden, a signé un décret exécutif ratifiant l'accord de principe sur le transfert des données transatlantiques. Ce cadre légal a ensuite été soumis à la Commission européenne afin qu’elle évalue s’il permet d’assurer un niveau de protection adéquat pour les données des Européens. Le 13 décembre, elle donne son quitus sur ce texte. Toutefois, avant d’adopter définitivement sa décision validant le dispositif, la Commission a soumis un projet de décision pour avis au CEPD (Comité européen de la protection des données ou « European Data Protection Board » en anglais, organe qui regroupe l’ensemble des autorités de protection des données au niveau européen).
Le CEPD rend son avis et veut des réexamens réguliers
Et nous y sommes. Ce 28 février 2023, le CEPD a adopté et publié son avis sur ce projet de décision d’adéquation sur le cadre UE-États-Unis relatif à la protection des données personnelles. L'organisme y relève les améliorations apportées par l'administration américaine tout en faisant part de ses préoccupations sur un certain nombre de points dont il dresse la liste. Il souligne l'introduction des concepts de nécessité et de proportionnalité à propos de la collecte de données par les États-Unis. En outre, le CEPD fait valoir l’importance du mécanisme de recours qui crée des droits pour les citoyens de l'UE et est soumis à l'examen du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB). Le décret consacre également davantage de garanties pour assurer l'indépendance de la Cour de révision de la protection des données (DPRC), par rapport au mécanisme précédent du médiateur (Ombudsman), et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.
La présidente du comité européen de la protection des données, Andrea Jelinek, a déclaré : « Un niveau élevé de protection des données est essentiel pour protéger les droits et les libertés des citoyens de l'UE. Bien que nous reconnaissions que les améliorations apportées au cadre juridique américain sont importantes, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées pour garantir la pérennité de la décision d'adéquation. Pour la même raison, nous pensons qu'après le premier réexamen de la décision d'adéquation, des réexamens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer ».
Sur le plan commercial, le doute subsiste
Concernant les aspects commerciaux, certaines inquiétudes demeurent. Le CEPD s’interroge notamment quant à l'application des principes du cadre de protection des données aux sous-traitants, la large exemption au droit d'accès pour les informations accessibles au public, et l'absence de règles spécifiques sur la prise de décision automatisée et le profilage. L'organisme réaffirme également que le niveau de protection ne doit pas être affaibli par les transferts ultérieurs. Il invite donc la Commission européenne à préciser que les garanties imposées par le destinataire initial à l'importateur dans le pays tiers doivent être effectives à la lumière de la législation du pays tiers.
La semaine dernière, un autre obstacle est venu semer le doute sur la possibilité d'entrevoir un jour un cadre juridique dédié au transfert de données personnelles entre l'Union européenne et les Etats-Unis. La commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a recommandé à l'exécutif bruxellois de rejeter le texte. Dans cette recommandation, la commission parlementaire indique que le cadre n'est pas entièrement conforme au règlement général sur la protection des données (RGPD) de l'UE, en particulier à la lumière de la politique américaine actuelle qui permettrait la collecte à grande échelle et sans mandat des données des utilisateurs à des fins de sécurité nationale. Elle indique par ailleurs qu'un décret émis par l'administration Biden ne constitue pas une protection supplémentaire suffisante pour plusieurs raisons, notamment la mutabilité de la politique adoptée par décret - elle peut simplement être annulée ou modifiée par le président à tout moment - et l'insuffisance des garanties qu'il prévoit. Affaire à suivre donc.