Joe Biden signe un décret pour le nouveau cadre de transfert de données entre l'UE et les États-Unis
Le président des États-Unis, Joe Biden, a signé un décret relatif à un nouveau cadre de transfert de données entre l’UE et les États-Unis, qui introduira des garanties pour l’accès des services de renseignement américains aux données personnelles européennes.
Le président des États-Unis, Joe Biden, a signé un décret relatif à un nouveau cadre de transfert de données entre l’UE et les États-Unis, qui introduira des garanties pour l’accès des services de renseignement américains aux données personnelles européennes, surmontant ainsi les désaccords qui ont vu le mécanisme échouer en 2020.
Le décret est le résultat de longues négociations entre l’administration américaine et la Commission européenne, certifiées dans un accord politique de principe annoncé en mars par M. Biden et la présidente de la Commission, Ursula von der Leyen.
La nécessité de ces négociations est apparue en juillet 2020, lorsque la Cour de Justice de l’UE a invalidé pour la deuxième fois le cadre juridique du transfert des données personnelles outre-Atlantique dans un arrêt historique, Schrems II.
« Le cadre UE-États-Unis relatif à la confidentialité des données fournira une base juridique durable et fiable et une certitude pour les flux de données transatlantiques et créera de plus grandes opportunités économiques pour les entreprises et les citoyens des deux côtés de l’Atlantique », a déclaré la secrétaire américaine au commerce, Gina Raimondo.
Schrems II
Dans l’arrêt Schrems II, la plus haute juridiction de l’UE a estimé que la juridiction américaine n’offrait pas un niveau adéquat de protection des personnes. En effet, comme l’a révélé Edward Snowden en 2013, les services de renseignement américains collectent sans discernement des données en masse.
En outre, le système juridique américain n’offrait pas de recours juridique aux résidents de l’UE qui souhaitaient contester le traitement de leurs données personnelles, ce qui est illégal en vertu du règlement général sur la protection des données de l’UE. Le recours juridique est un principe fondamental du droit européen.
Selon un haut fonctionnaire américain, l’administration est « certaine » que le nouveau cadre de protection des données résistera à la probable contestation auprès de la Cour de Justice de l’UE, puisque les deux principales questions soulevées dans l’arrêt Schrems II — la proportionnalité et le recours — ont été traitées.
Le verdict Schrems II a jeté l’incertitude sur les transferts transatlantiques de données, une dimension essentielle du commerce international. La valeur des relations économiques entre l’Union européenne et les États-Unis est estimée à 7,1 billions de dollars.
Le décret
Le décret stipule que les activités de collecte de données des services de renseignement américains ne peuvent avoir lieu que dans le cadre d’objectifs de sécurité nationale bien définis, afin de faire progresser une priorité validée en matière de renseignement, et qu’elles doivent être menées de manière proportionnée et en tenant compte de la vie privée et des libertés civiles des personnes.
Des garanties supplémentaires ont été ajoutées dans le traitement des informations personnelles afin d’étendre le contrôle juridique des responsables de la conformité qui seraient chargés de veiller à ce que des recours appropriés soient mis en place en cas de non-conformité.
Ces mesures de protection entraînent des changements importants dans le mode de fonctionnement de la communauté du renseignement américaine. En même temps que le décret, l’administration américaine a transmis à la Commission européenne une série de lettres des agences gouvernementales concernées indiquant les ajustements internes qu’elles apporteront pour faire appliquer le nouveau régime de partage des données.
Des garanties à deux niveaux
Pour l’administration américaine, ces garanties seront assurées par un mécanisme à deux niveaux.
Tout d’abord, un agent de protection des libertés civiles (CLPO) sera mis en place au sein du bureau du directeur du renseignement national et sera chargé de mener des enquêtes initiales pour vérifier les plaintes relatives à la violation du décret. La décision du CLPO sera contraignante pour les agences de renseignement.
Deuxièmement, l’équivalent américain d’un ministère de la justice européen, l’Attorney General établira une Cour de révision de la protection des données qui assurera un contrôle indépendant et contraignant des décisions du CLPO, notamment en ordonnant des recours à la communauté du renseignement.
Les juges de cette cour seront recrutés en dehors de l’administration américaine et bénéficieront de garanties en termes d’indépendance et de protection contre la révocation. Le tribunal doit également nommer un avocat spécial qui fournira des conseils juridiques sur les affaires en cours.
En outre, le Privacy and Civil Liberties Oversight Board, une agence américaine, examinera chaque année le processus de recours et évaluera la conformité des services de renseignement avec les décisions du CLPO et du tribunal de protection des données.
Dans le cadre annulé du Bouclier de protection des données UE-États-Unis, le mécanisme de recours consistait à désigner un médiateur au sein du Département d’État, le ministère américain des Affaires étrangères, chargé de résoudre les plaintes. Pour le haut fonctionnaire de l’administration américaine, le nouveau cadre serait beaucoup plus solide puisqu’un tribunal judiciaire indépendant veillerait à l’application des mesures de protection.
Les premières réactions
Max Schrems, le défenseur de la vie privée à l’origine des affaires judiciaires homonymes, a contesté le décret en faisant valoir qu’il est peu probable qu’il change la façon dont les agences de renseignement américaines opèrent par le biais de la surveillance de masse, puisque le principe de proportionnalité n’est pas entendu de la même façon outre-Atlantique.
« L’Union européenne et les États-Unis sont désormais d’accord sur l’utilisation du mot « proportionné », mais ne semblent pas s’accorder sur sa signification. Au final, c’est la définition de la CJUE qui prévaudra — ce qui risque de rendre caduque toute décision de l’UE. La Commission européenne ferme une fois de plus les yeux sur le droit américain, pour permettre de continuer à espionner les Européens », a déclaré M. Schrems dans un communiqué.
Deuxièmement, l’avocat autrichien conteste le statut de la Cour de révision de la protection des données en tant que tribunal indépendant, puisqu’il s’agira d’un organe relevant de la branche exécutive du gouvernement américain, qui ne pourra donc pas bénéficier du recours judiciaire prévu par la Charte des droits fondamentaux de l’UE.
« À première vue, il semble que les questions essentielles n’aient pas été résolues, et la CJUE sera de nouveau saisie tôt ou tard », a ajouté M. Schrems.
