Blog Données personnelles
La base du futur « Privacy Shield »
Plus de six mois après un accord de principe entre l’Union européenne et les États-Unis [1], le président américain Joe Biden a signé, le 7 octobre 2022, le décret exécutif sur le « renforcement des garanties pour les activités de renseignement sur les transmissions des États-Unis », visant à respecter les arrêts passés de la Cour européenne de justice (CJUE) pour surmonter les limitations des transferts de données entre l’Union européenne et les États-Unis.
Le décret exécutif introduit ainsi de nouvelles garanties contraignantes pour répondre à tous les points soulevés par la CJUE, limitant l’accès aux données de l’Union européenne par les services de renseignement américains et établissant une Cour de révision de la protection des données.
Sur cette base, la Commission européenne va maintenant préparer un projet de décision d’adéquation, en vertu de l’article 45 du RGPD, et lancer sa procédure d’adoption.
Une fois le projet de décision d’adéquation publié, la Commission européenne devra obtenir un avis du Comité européen de la Protection des Données (EDPB) et d’un comité composé de représentants des États membres européens, bien qu’elle ne soit pas liée par leurs conclusions. Ce processus peut prendre quelques mois.
Une fois la décision d’adéquation finale publiée, les données pourront circuler librement et en toute sécurité entre les entreprises européennes et américaines.
Ce futur « Privacy Shield » n’est toutefois pas prévu avant le printemps 2023, alors même qu’il était initialement envisagé pour l’automne 2022 [2].
L’association Noyb est pour autant sceptique face à cette avancée. En effet, l’association estime, entre autres, que le décret américain ne garantit pas que la surveillance exercée par les Etats-Unis soit proportionnée au sens du droit européen. Elle déplore aussi que la nouvelle Cour d’examen qui sera mise en place ne soit pas un « vrai tribunal ». Selon Max Schrems, le militant autrichien, il ne s’agit pas d’une Cour au sens juridique habituel, mais d’un organe relevant du pouvoir exécutif du gouvernement américain. L’association estime donc qu’il est peu probable que le décret américain satisfasse au droit de l’Union européenne [3].
[1] Trans-Atlantic Data Privacy Framework, March 25, 2022.
[3] Ibid.