C’est une épine dans pied des relations entre les Etats-Unis et l’Europe. L’accord sur le transfert des données transatlantiques vient de connaître un autre rebondissement avec la signature par Joe Biden d’un décret exécutif. Ce dernier vise à entériner l’accord de principe négocié avec la Commission européenne, pour remplacer le Privacy Shield invalidé par la Cour de Justice de l’Union européenne (CJUE) au même titre que son prédécesseur, le Safe Harbor. Certains s'interrogent depuis le début sur ce nouvel accord en soupçonnant un échange data privacy contre du gaz américain.
Pour rassurer les européens, les Etats-Unis sont prêts à des concessions sur deux points relevés par la CJUE dans ses différents arrêts. Le premier est la proportionnalité de la surveillance des données et le second porte sur la capacité pour les citoyens européens d’ester en justice sur le sol américain pour défendre leurs droits sur les données personnelles. Sur la proportionnalité, la position outre-Atlantique a évolué pour reprendre les termes « proportionné » et « nécessaire » au lieu de « aussi adapté que possible ». Reste à savoir comment ces termes seront interprétés par les juridictions américaines. Comme l’indique l’association Noyb, dont le dirigeant Max Schrems est à l’origine des invalidations du Safe Harbour et du Privacy Shield, les deux parties « sont désormais d'accord sur l'utilisation du mot "proportionné" mais semblent en désaccord sur sa signification ». Il met par exemple en avant la surveillance de masse liée à différents programmes comme Prism et Upstream.
Un recours juridictionnel réellement effectif et conforme ?
Le prochain accord prévoit également des capacités de recours par les citoyens européens. La procédure se déroulera en deux étapes. La première est confiée à un agent relevant du directeur du renseignement national et la seconde à une « Cour de révision de la protection des données » (Data Protection Review Court). Dans le cadre du Privacy Shield, un médiateur nommé Ombudsman avait été mis en place pour gérer et tenter de trouver une solution en cas de problème sur le traitement des données personnelles. Là encore, la CJUE avait taclé l’accord au motif qu’il n’existait pas une réciprocité de capacité de recours juridictionnel pour les citoyens européens aux Etats-Unis. Dans son analyse, Noyb constate que la proposition de recours du dernier accord ne respecte pas cette obligation car la Data Protection Review Court n’est pas une juridiction « au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ». Des incertitudes planent par ailleurs sur les éléments de procédures, la demande se fait d’abord auprès de l’UE qui passe la réclamation à son homologue américain. A noter qu’il n’existe pas d’appel.
Après la signature du décret exécutif du président des Etats-Unis, la balle revient dans le camp de l’UE. La Commission européenne va rédiger une « décision de mise en adéquation » selon l’article 45 du RGPD relatif au transfert des données. Cette décision sera soumise à consultation par le CEPD (Comité européen de protection des données) et les Etats-membres. Même en cas d’avis négatif, l’exécutif bruxellois peut publier l’accord. Initialement prévu à l’automne 2022, il faudra certainement attendre le printemps 2023 pour cette publication. Les entreprises pourront alors se prévaloir de ce texte dans le cadre du transfert des données transatlantiques. Par-contre, cet accord sera probablement contesté comme ses prédécesseurs. L’association Noyb est dans les starting-blocks.