Le 25 mars dernier, la Commission européenne annonce avoir trouvé un accord de principe concernant le transfert de données personnelles aux Etats-Unis.
Pour rappel, dans le cadre du Règlement européen sur la protection des données personnelles (RGPD), pour transférer des données personnelles dans un Etat tiers, il doit exister entre cet Etat et l’Union européenne un accord que l’on nomme « décision d’adéquation ».
Concernant les Etats Unis, le monde du droit fait face à une véritable saga. A l’heure actuelle déjà deux décisions d’adéquations ont été censuré, à postériori, par la Commission européenne. C’est ainsi que le Safe Harbour a été invalidé en 2015 et le Privacy Shield en 2020.
Depuis cette date, les Etats-Unis et l’Union européenne sont en négociation pour mettre au point une nouvelle décision venant théoriquement pallier les défauts des précédentes.
Il existe aux Etats-Unis deux législations conflictuelles. L’article 702 du Foreign Intelligence Service Act (FISA) et l’Executive Order 12333 permettent au Gouvernement américain et aux services de renseignements d’accéder et d’analyser des données personnelles européennes en transit aux Etats-Unis. La Commission européenne souligne l’absence de limitation au traitement. Théoriquement, celui-ci doit être limité à ce qui est nécessaire et proportionné. Elle désapprouve également l’absence de recours effectif ouvert aux personnes concernées pour faire valoir leur droit.
Quoiqu’il en soit Ursula Von Der Layen, présidente de la Commission européenne s’est félicitée, dans une conférence de presse, de la mise au point, en collaboration avec Joe Biden, d’avoir trouvé un accord de principe sur la teneur de la nouvelle décision d’adéquation avec les Etats-Unis.
En vertu de celui-ci, les Etats-Unis devront mettre en place de nouvelles garanties pour assurer que le traitement des données personnelles européennes soit limité à ce qui est nécessaire et proportionné à la sécurité nationale américaine. Ils devront également créer un tribunal dédié la Data Protection Review Court. Par ailleurs les mécanismes de surveillance des personnes traitant des données seront accrus ainsi que les obligations spécifiques des entreprises assurant le transfert de données.
Cette annonce a suscité de vives réactions, majoritairement pessimistes. Maximilian Schrems, le juriste autrichien à l’origine des recours contre les précédentes décisions, a publié une lettre ouverte à toutes parties intéressées dans laquelle il déplore une décision politique non fondée sur des bases légales. Il estime que les différences de traitement des données personnelles ne peuvent être fondées sur une notion telle que la nationalité d’un ressortissant. Il considère que les avancées prônées par cet accord ne diffèrent pas significativement de ce qui a couté déjà la validité aux précédentes décisions. Il se dit prêt à tenter « un troisième round ».
Cet accord de principe doit maintenant être traduit en documents légaux. Le Gouvernement européen doit publier un décret qui servira de base d’évaluation à la Commission européenne dans l’élaboration de sa nouvelle décision d’adéquation.