Transfert de données personnelles vers les Etats-Unis : où en sommes-nous ?

La signature par Joe Biden d’un décret le 7 octobre dernier suppose de retracer l’histoire des décisions relatives aux transferts de données personnelles vers les États-Unis…

Difficile de se mettre d’accord… Mais pourquoi tant de débats et d’inconciliations ?

Il s’agit ni plus ni moins d’un conflit de lois : d’un côté, les lois américaines exigent une surveillance massive, de l’autre, les lois européennes sur la protection des données exigent le respect de la vie privée ! En effet les autorités américaines ont, de par leurs lois, un droit de regard sur les données personnelles des clients/abonnés collectées par les prestataires de services établis aux États-Unis, sans que la personne « ciblée » ou que le pays où sont stockés ces données n’en soient informés. Pour résumer, cette pratique est incompatible avec la législation applicable en Europe en matière de protection des données.

Le décret du 7 octobre dernier vise ainsi à limiter l’accès aux données de l’UE par les services de renseignements américains, notamment par la mise en place d’un mécanisme de recours indépendant et impartial permettant aux individus de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées. Sur la base de ce décret, la Commission européenne doit désormais rédiger un projet de décision d’adéquation en vertu de l’article 45 du RGPD (1er outil juridique d’encadrement des transferts de données en dehors de l’UE).

Mais force est de constater que les dispositions prévues par le décret ne semblent pas convaincre…  Max Schrems, président de l’association None Of Your Business (NOYB) a en effet d’ores et déjà déclaré : « À première vue, il semble que les questions essentielles n’ont pas été résolues et que le dossier reviendra tôt ou tard devant la CJUE ». 

Suite au prochain épisode…