C’est un petit pas, mais les choses avancent. En effet, la Commission européenne a annoncé hier qu'elle avait officiellement entamé le processus d'approbation du cadre transatlantique de protection des données, qui doit permettre la circulation des données entre les États-Unis et l'Union européenne. L’institution a considéré que ce cadre offrait des garanties de protection de la vie privée comparables à celles de l'Union européenne. Après la signature, en octobre, par le président américain Joe Biden, du décret de mise en œuvre des règles du Trans-Atlantic Data Policy Framework aux États-Unis, la Commission a procédé à une évaluation du cadre juridique américain sur lequel le projet de loi était fondé.
Cette évaluation, publiée mardi, indique que la législation garantit un niveau adéquat de protection des données personnelles transférées de l'UE vers les entreprises américaines. Le projet de décision d'adéquation a maintenant été transmis au Comité européen de protection des données (European Data Protection Board, EDPB) pour avis. Une fois que le régulateur aura donné son accord, la Commission devra demander l'approbation d'un comité composé de représentants des États membres de l'UE, ainsi que du Parlement européen, qui a un droit de regard sur les décisions d'adéquation. Ce n'est qu'alors que la Commission pourra procéder à l'adoption formelle de la législation.
Des garanties et des critiques
S'il est adopté, le cadre transatlantique signifiera que les entreprises américaines devront accepter de se conformer à un ensemble détaillé de règles relatives à la protection de la vie privée. Ce cadre comporte l'obligation de supprimer les données personnelles lorsqu'elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées. Par ailleurs, les sociétés doivent assurer la continuité de la protection lorsque les données personnelles sont partagées avec des tiers. Ces réglementations sont essentiellement censées garantir que le flux de données entre les États-Unis et l'UE respecte les réglementations de l'UE et particulier le RGPD. En outre, les citoyens de l'UE bénéficieront de plusieurs voies de recours si leurs données personnelles sont traitées en violation du cadre et auront la possibilité d'obtenir réparation concernant la collecte et l'utilisation de leurs données par les agences de renseignement américaines devant un mécanisme de recours indépendant et impartial, y compris auprès d’une Cour de révision de la protection des données (Data Protection Review Court) nouvellement créée.
Dans des commentaires publiés parallèlement à l'annonce, la vice-présidente de la Commission chargée des valeurs et de la transparence, Věra Jourová, a déclaré que le cadre proposé améliorera encore la sécurité des données personnelles transférées de l'Europe vers les États-Unis, en s'appuyant sur les progrès réalisés par les deux parties au fil des ans. « Le futur cadre est également bon pour les entreprises, et il renforcera la coopération transatlantique », a déclaré la vice-présidente. « En tant que démocraties, nous devons défendre les droits fondamentaux, y compris la protection des données. C'est une nécessité, et non un luxe dans une économie de plus en plus numérisée et axée sur les données », a-t-elle ajouté. Le nouveau cadre de politique des données transatlantique Trans-Atlantic Data Policy Framework est censé remplacer les anciens accords, notamment l'accord Privacy Shield, invalidé en juillet 2020 par la Cour de justice européenne (CJUE) au motif que les États-Unis n'offraient pas une protection adéquate des données personnelles, notamment en ce qui concerne la surveillance étatique. Le prochain cadre a toutefois aussi ses détracteurs, qui estiment que l'accord ne garantit pas que les autorités judiciaires américaines s'abstiendront d'accéder aux données des citoyens européens une fois qu'elles auront été transférées aux États-Unis. Si l'UE ratifie le cadre malgré les critiques, il ne sera probablement pas approuvé avant le printemps 2023 au plus tôt.