La Commission européenne et les États-Unis déclarent avoir conclu un accord de principe sur un nouveau cadre transatlantique de protection des données. Promis, le dispositif répondra à l’arrêt Schrems II.

Les transferts de données entre l’Europe et les États-Unis sont un véritable casse-tête juridique. À deux reprises déjà, le mécanisme mis en place par les autorités a été invalidé par la Cour de Justice de l’UE. En 2015, le Safe Harbor était le premier à connaître cette fin. En 2020, la CJUE récidivait avec l’arrêt Schrems II et l’invalidation du Privacy Shield.

Depuis, Commission européenne et administration américaine discutent donc d’un nouvel accord sur les transferts de données. Le vendredi 25 mars, elles ont annoncé être parvenues à un accord de principe ouvrant la voie à un nouveau cadre juridique.

Un engagement « sans précédent » des US

« Le nouveau cadre marque un engagement sans précédent de la part des États-Unis à mettre en œuvre des réformes qui renforceront les protections de la vie privée et des libertés civiles applicables aux activités de renseignement des États-Unis », promet le communiqué.

Rappelons en effet que c’est le volet du renseignement qui a conduit à chaque fois la CJUE à invalider le système de transfert de données. Le Privacy Shield consacrait, comme le Safe Harbor avant lui, « la primauté des exigences relatives à la sécurité nationale » des US et ses propres réglementations, estimaient les magistrats.

Le Privacy Shield v2 devrait donc répondre à ces insuffisances en termes de protection des données personnelles. C’est du moins ce qu’affirment les autorités, qui annoncent un « nouvel ensemble de règles et de garanties contraignantes ».

Par ailleurs, sera mis en place un « nouveau système de recours à deux niveaux » afin de permettre le traitement de plaintes émanant d’Européens. Ces plaintes pourront notamment être soumises à la Data Protection Review Court.

Les différentes modalités ne sont cependant pas précisées à ce stade. L’entente entre Europe et Etats-Unis repose sur un accord de principe. Pour se concrétiser, le nouveau cadre doit se traduire « en documents juridiques ». Europe et Etats-Unis devront ensuite faire voter ces textes.

Une sécurité juridique toujours incertaine

Aucun calendrier n’est indiqué. Ce qui est probable, sinon certain, c’est que la robustesse juridique du nouveau dispositif sera éprouvée à son tour devant la Cour de Justice. Pour Max Schrems, à qui on doit l’annulation du Privacy Shield, les déclarations de la Commission sont d’ores et déjà un échec.

« Il est regrettable que l’UE et les États-Unis n’aient pas profité de cette situation pour parvenir à un accord de ‘non-espionnage’, avec des garanties de base entre démocraties partageant les mêmes idées », déplore-t-il.

Quelques jours plus tôt, l’EDPO (European Data Protection Office) partageait d’ailleurs sur LinkedIn un article rendant compte d’une décision de la Cour Suprême des Etats-Unis. Les magistrats donnent ainsi au gouvernement américain plus de latitude pour invoquer les « secrets d’État » dans les affaires d’espionnage.

« Ironiquement, cette victoire compromet les efforts de l’administration Biden pour démontrer que les États-Unis disposent de protections de la vie privée suffisamment fortes pour soutenir un nouvel accord Privacy Shield – à moins que le Congrès n’intervienne maintenant », interprète la presse américaine.