134 pages. Telle est la longueur du document que vient de soumettre mardi 13 décembre 2022 la Commission européenne, dans l’optique de fixer un nouveau cadre avec les États-Unis au sujet des données personnelles des Européens. Objectif ? Établir une base légale pour que ces informations puissent circuler sans difficulté entre les deux rives de l’Atlantique.
C’est d’abord la taille de ce projet qui a étonné. Théodore Christakis, spécialiste de droit international public, remarque que c’est le document le plus long de sa catégorie. En comparaison, les textes sur le transfert de données personnelles dans d’autres pays vont de 58 (pour le Japon) à 122 pages (pour la Corée du Sud), en passant par 93 (pour le Royaume-Uni).
Des garanties compatibles avec l’UE
Les conclusions de Bruxelles, en revanche, ne constituent absolument pas une surprise. Aux yeux de la Commission, le cadre juridique américain « offre des garanties compatibles à celles de l’Union européenne ». Dès lors, le transfert des données personnelles d’Europe vers les USA est possible, puisque de nombreux services américains sont utilisés par les Européens.
Ce document tient compte des récentes évolutions dans le droit américain, est-il expliqué. Il y a eu d’abord la prise d’un décret présidentiel par Joe Biden en octobre, et aussi l’adoption de règlements par Merrick Garland, le procureur général. Ces modifications résolvent les plus récents litiges juridiques soulevés par la justice européenne, estime Bruxelles.
Mais, la Commission européenne a-t-elle une évaluation lucide des évènements ? La question peut sembler provocatrice, mais elle reflète une réalité sévère pour l’exécutif du Vieux Continent. Voilà déjà deux fois que le cadre entre les USA et l’Europe concernant les données personnelles vole en éclat. Or, à chaque fois, on le disait aussi conforme au droit européen.
Le Safe Harbor a été annulé en 2015 par la Cour de justice de l’Union européenne. En 2016, un nouveau dispositif est mis en place avec le Privacy Shield. Déjà, on nous décrivait un mécanisme plus protecteur — mais les autorités de régulation, le Parlement européen, les associations et d’autres avaient une lecture beaucoup plus critique de la situation.
Un autre interlocuteur a eu aussi une évaluation sévère : c’est la Cour de justice de l’UE. En 2020, elle a sabré le Privacy Shield, à cause des pratiques américaines sur la surveillance électronique. En somme, le cadre plus protecteur ne l’était pas tant que ça. Du moins, le Privacy Shield protégeait insuffisamment les droits des Européens devant les tribunaux américains.
Le projet de décision, visant à acter l’adéquation du cadre juridique américain avec celui de l’Union, s’inscrit donc dans ce contexte : deux dispositifs annoncés comme convenables qui ont sauté pour peu ou prou les mêmes raisons — ce n’était pas assez protecteur. Dès lors, la nouvelle architecture promise à partir du printemps 2022 est vue sans surprise avec une certaine circonspection.
C’est en mars que Joe Biden et Ursula von der Leyen, la présidente de la Commission européenne, ont annoncé un accord politique pour mettre en place un nouveau cadre sur le transfert des données personnelles. Depuis, des dispositions dans la loi américaine ont été prises pour refléter et traduire les objectifs pris entre les deux dirigeants.
Selon Bruxelles, les deux principales évolutions sont :
- L’accès des services de renseignement américains aux données européennes sera limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
- les citoyens de l’UE pourront obtenir réparation concernant la collecte et l’utilisation de leurs données par les services de renseignement américains devant un mécanisme de recours indépendant et impartial. Il comprend une Cour de contrôle de la protection des données nouvellement créée. La Cour examinera et tranchera de manière indépendante les plaintes des Européens, y compris en adoptant des mesures correctives contraignantes.
La Commission a-t-elle une analyse juste ?
Et, maintenant ? La prochaine étape est la collecte de l’avis du comité européen de la protection des données. La Commission attend aussi des retours du Parlement européen, qui « dispose d’un droit de regard », et d’un autre comité qui rassemble les représentants des États membres. En théorie, tout est censé bien se passer et la Commission espère adopter sa décision d’adéquation.
Mais, de la théorie à la pratique, il y a parfois un fossé. En avril, le comité européen de la protection des données avait certes estimé qu’il s’agissait « d’un premier pas positif dans la bonne direction », susceptible « d’établir des mesures ‘sans précédent’ pour protéger la vie privée et les données personnelles ». Il avait aussi noté la nécessité d’évaluer le texte en profondeur.
Surtout, on peut raisonnablement penser que le pourfendeur du Safe Harbor et du Privacy Shield, l’Autrichien Maximilian Schrems, va de nouveau saisir la Cour de justice de l’Union européenne pour casser ce énième échafaudage. L’association qu’il dirige, None Of Your Business (NOYB), suggère d’ailleurs que cela ne marchera pas. Une troisième annulation ferait assurément désordre.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
