La signature par Joe Biden d’un décret le 7 octobre dernier suppose de retracer l’histoire des décisions relatives aux transferts de données personnelles vers les États-Unis…
2000
Safe Harbor :
Transfert des données aux USA ✅
2013
Révélations d'Edward Snowden
2015
Arrêt Schrems :
Transfert des données aux USA ❌
2016
Privacy Shield :
Transfet de données aux USA ✅
2020
Arrêt Schrems II :
Transfet de données aux USA ❌
25 mars 2022
Accord de principe entre l'UE et les USA
7 octobre 2022
Signature du décret par Joe Biden ❓
13 décembre 2022
Publication de la Commission européenne d'un communiqué de presse concernant le processus formel d'adoption d'une décision d'adéquation
Rappel
Signature par Joe Biden le 7 octobre 2022, du décret « Enhancing Safeguards for United States Signals Intelligence Activities » visant à limiter l’accès aux données de l’UE par les services de renseignements américains, notamment par la mise en place d’un mécanisme de recours indépendant et impartial permettant aux individus de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées. Ce décret était précédé d’un accord « de principe » annoncé par le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen en mars 2022.
Sur la base de ce décret, la Commission européenne devait rédiger un projet de décision d’adéquation en vertu de l’article 45 du RGPD (1er outil juridique d’encadrement des transferts de données en dehors de l’UE).
Le 13 décembre dernier, la Commission européenne publiait ainsi un communiqué de presse concernant le processus formel d’adoption d’une décision d’adéquation concernant le cadre transatlantique de protection des données personnelles.
Que faut-il en retenir ?
- Les entreprises américaines pourront adhérer au cadre de la protection des données en s’engageant à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée ;
- Les citoyens de l’UE bénéficieront de plusieurs voie de recours si leurs données sont traitées en violation du cadre et auront notamment accès gratuitement à des mécanismes indépendants de règlement des litiges ainsi qu’à un groupe spécial d’arbitrage ;
- En réponse aux préoccupations soulevées dans l’arrêt Schrems II, l’accès des services de renseignement américain aux données européennes sera limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ;
- Les citoyens de l’UE auront la possibilité d’obtenir réparation en ce qui concerne la collecte et l’utilisation de leurs données par les services de renseignement américains devant un mécanisme de recours indépendant et impartial, comprenant une Cour de contrôle de la protection des données.
- Les entreprises européennes pourront s’appuyer sur ces garanties pour les transferts transatlantiques de données.
Et maintenant ?
Le projet de décision d’adéquation reflétant l’évaluation par la Commission européenne du cadre juridique américain et concluant ainsi que ce dernier assurait un niveau de protection adéquat a été transmis au Comité européen de la protection des données (CEPD) pour avis.
Par la suite, la Commission sollicitera l’approbation d’un comité composé de représentants des États membres de l’UE. À l’issue de cette procédure, la Commission pourra procéder à l’adoption de la décision d’adéquation finale.
Mais, puisqu’il y a toujours un mais…
C’était sans compter l’organisation de protection de la vie privée autrichienne NOYB (None Of Your Business) qui estime que la loi américaine actualisée (Executive Order 14086) ne semble pas répondre aux exigences concernant les restrictions d’accès aux données des services de renseignements : « Il y a toujours une “surveillance massive” et un “tribunal” qui n’est pas un vrai tribunal. Par conséquent, toute “décision d’adéquation” de l’UE basée sur l’Executive Order 14086 ne satisfera probablement pas la CJUE ».
Suite au prochain épisode…
