Blog Données personnelles
Les Etats-Unis et l’Union Européenne trouvent un accord sur les transferts transatlantiques de données personnelles
Le 16 juillet 2020, la Cour de justice de l’Union Européenne invalidait la décision d’adéquation de la Commission, aussi appelée « Privacy Shield ». Cet instrument prévu par l’article 45 du RGPD dressait une équivalence théorique entre les niveaux de protection des données à caractère personnelles de part et d’autre de l’Atlantique, facilitant ainsi grandement les transferts.
En annulant la décision d’adéquation de la Commission Européenne, les juges de Luxembourg jetaient un nombre considérable d’acteurs privés comme institutionnels dans une situation de grande incertitude. En effet, en maintenant la possibilité de transférer des données personnelles aux Etats-Unis moyennant « mesures supplémentaires » alors qu’ils condamnaient par ailleurs la collecte de masse par le renseignement américain et l’absence de recours pour les justiciables européens, ces derniers avaient transféré à l’exportateur de données la responsabilité d’évaluer, pour chaque transfert, le niveau de protection des droits des personnes concernées.
Quelles que fussent les raisons ayant réellement poussé la CJUE à invalider le Privacy Shield, ce dernier n’en avait pas moins été un accord pris en considération de nombreux intérêts parmi lesquels figurent les liens économiques exceptionnels unissant les Etats-Unis et l’Union Européenne. A cet égard, la décision de la Cour de justice pouvait laisser présager d’une émancipation du vieux continent vis-à-vis des géants américains du numérique. Ainsi, l’arrêt Schrems II fut en effet soulevé à maintes reprises afin de promouvoir la « souveraineté numérique européenne ». Ces appels furent particulièrement intenses en ce qui concerne l’hébergement et à plus forte raison celui des données de santé (controverse autour du Health Data Hub) ou bien vis-à-vis des outils à forte captation de données tels que les services d’analytics (mises en demeure prononcées par la CNIL).
Malgré un contexte défavorable, les entreprises européennes ont continué de plébisciter leurs fournisseurs américains qui craignaient toutefois que prévale une interprétation plus dure de la jurisprudence Schrems II et souhaitaient éviter le pire, c’est-à-dire une invalidation des instruments de transfert restants. En coulisses en revanche, les négociateurs s’efforçaient d’aboutir à un nouveau compromis.
En annonçant un « accord de principe » sur la question des flux de données personnelles entre les Etats-Unis et l’Europe, Ursula Von der Leyen et Joe Biden laissent entrevoir une issue favorable à ces négociations. Néanmoins, les seuls communiqués de presse ne sauraient constituer un nouveau cadre de référence ni même l’assurance qu’un accord final sera bien trouvé. Le « Privacy Shield 2.0 » devra à tout prix proposer une réponse concrète aux points d’incompatibilité soulevés par la CJUE dans l’arrêt Schrems II. Pourtant, sans réforme des textes américains et notamment de la section 702 du Foreign Intelligence Suerveillance Act et de l’Executive Order 12333, difficile d’imaginer la fin de la surveillance de masse mise en cause par la CJUE [1] . Sur ce point, le communiqué de la Commission se borne à constater que le nouvel accord contiendra des mesures « contraignantes » afin de limiter les l’accès aux données « à ce qui est nécessaire et proportionné à des fins de sécurité nationale ». [2]
La Commission et la Maison blanche annoncent également un système de recours juridictionnel devant permettre aux Européens s’estimant surveillés à tort de porter son litige devant un juge indépendant [3]. Il s’agissait d’un point de friction important au cœur du précédent système d’adéquation, relevé à juste titre par la CJUE dans son arrêt du 16 juillet 2020 [4]. L’autonomie de cette juridiction, ses prérogatives ainsi que son pouvoir de contrainte au regard des activités de renseignement des agences américaines seront essentielles afin que l’accord conclu ne soit pas mort-né.
En effet, l’association NOYB à laquelle on doit le recours préjudiciel ayant mené à l’invalidation du Privacy Shield, a d’ores et déjà annoncé qu’elle se réservait le droit de déposer recours contre l’accord une fois ce dernier entériné par la Commission.
[1] CJUE, Arrêt de la Cour (grande chambre) du 16 juillet 2020, affaire C-311/18 point 64.
[2] European Commission, Trans-Atlantic Data Privacy Framework », March 2022.
[3] Ibid.
[4] CJUE, Arrêt de la Cour (grande chambre) du 16 juillet 2020, affaire C-311/18 point 192.