Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

L'UE pense que les USA ont assez changé pour retransférer des données personnelles chez eux

Bruxelles considère que le cadre juridique américain est suffisant pour protéger convenablement les données personnelles des Européens. Mais, les déboires du Safe Harbor et du Privacy Shield incitent à la prudence.

134 pages. Telle est la longueur du document que vient de soumettre mardi 13 décembre 2022 la Commission européenne, dans l'optique de fixer un nouveau cadre avec les États-Unis au sujet des données personnelles des Européens. Objectif ? Établir une base légale pour que ces informations puissent circuler sans difficulté entre les deux rives de l'Atlantique.

C'est d'abord la taille de ce projet qui a étonné. Théodore Christakis, spécialiste de droit international public, remarque que c'est le document le plus long de sa catégorie. En comparaison, les textes sur le transfert de données personnelles dans d'autres pays vont de 58 (pour le Japon) à 122 pages (pour la Corée du Sud), en passant par 93 (pour le Royaume-Uni).

Des garanties compatibles avec l'UE

Les conclusions de Bruxelles, en revanche, ne constituent absolument pas une surprise. Aux yeux de la Commission, le cadre juridique américain « offre des garanties compatibles à celles de l'Union européenne ». Dès lors, le transfert des données personnelles d'Europe vers les USA est possible, puisque de nombreux services américains sont utilisés par les Européens.

Ce document tient compte des récentes évolutions dans le droit américain, est-il expliqué. Il y a eu d'abord la prise d'un décret présidentiel par Joe Biden en octobre, et aussi l'adoption de règlements par Merrick Garland, le procureur général. Ces modifications résolvent les plus récents litiges juridiques soulevés par la justice européenne, estime Bruxelles.

Mais, la Commission européenne a-t-elle une évaluation lucide des évènements ? La question peut sembler provocatrice, mais elle reflète une réalité sévère pour l'exécutif du Vieux Continent. Voilà déjà deux fois que le cadre entre les USA et l'Europe concernant les données personnelles vole en éclat. Or, à chaque fois, on le disait aussi conforme au droit européen.

Le Safe Harbor a été annulé en 2015 par la Cour de justice de l’Union européenne. En 2016, un nouveau dispositif est mis en place avec le Privacy Shield. Déjà, on nous décrivait un mécanisme plus protecteur -- mais les autorités de régulation, le Parlement européen, les associations et d'autres avaient une lecture beaucoup plus critique de la situation.

Un autre interlocuteur a eu aussi une évaluation sévère : c'est la Cour de justice de l'UE. En 2020, elle a sabré le Privacy Shield, à cause des pratiques américaines sur la surveillance électronique. En somme, le cadre plus protecteur ne l'était pas tant que ça. Du moins, le Privacy Shield protégeait insuffisamment les droits des Européens devant les tribunaux américains.

drapeau usa états-unis
Un accord politique a été annoncé au printemps 2022. Désormais, il est traduit juridiquement. // Source : Steve Harwood

Le projet de décision, visant à acter l'adéquation du cadre juridique américain avec celui de l'Union, s'inscrit donc dans ce contexte : deux dispositifs annoncés comme convenables qui ont sauté pour peu ou prou les mêmes raisons -- ce n'était pas assez protecteur. Dès lors, la nouvelle architecture promise à partir du printemps 2022 est vue sans surprise avec une certaine circonspection.

C'est en mars que Joe Biden et Ursula von der Leyen, la présidente de la Commission européenne, ont annoncé un accord politique pour mettre en place un nouveau cadre sur le transfert des données personnelles. Depuis, des dispositions dans la loi américaine ont été prises pour refléter et traduire les objectifs pris entre les deux dirigeants.

Selon Bruxelles, les deux principales évolutions sont :

La Commission a-t-elle une analyse juste ?

Et, maintenant ? La prochaine étape est la collecte de l'avis du comité européen de la protection des données. La Commission attend aussi des retours du Parlement européen, qui « dispose d'un droit de regard », et d'un autre comité qui rassemble les représentants des États membres. En théorie, tout est censé bien se passer et la Commission espère adopter sa décision d'adéquation.

Mais, de la théorie à la pratique, il y a parfois un fossé. En avril, le comité européen de la protection des données avait certes estimé qu'il s'agissait « d'un premier pas positif dans la bonne direction », susceptible « d’établir des mesures ‘sans précédent’ pour protéger la vie privée et les données personnelles ». Il avait aussi noté la nécessité d'évaluer le texte en profondeur.

Surtout, on peut raisonnablement penser que le pourfendeur du Safe Harbor et du Privacy Shield, l'Autrichien Maximilian Schrems, va de nouveau saisir la Cour de justice de l'Union européenne pour casser ce énième échafaudage. L'association qu'il dirige, None Of Your Business (NOYB), suggère d'ailleurs que cela ne marchera pas. Une troisième annulation ferait assurément désordre.