Les commissaires à la protection des données des pays de l’UE ont certifié de manière surprenante que l’accord de protection des données prévu (Data Privacy Framework) avec les États-Unis est largement conforme aux dispositions légales de l’UE. Cela devrait ouvrir la voie à l’entrée en vigueur de l’accord – contrairement aux deux versions précédentes qui ont échoué.
Cadre de confidentialité des données comme troisième tentative
L’accord sur la confidentialité des données, actuellement en cours de révision, représente la troisième tentative visant à parvenir à un accord qui permettrait le transfert juridiquement sécurisé de données personnelles de l’UE vers les États-Unis. Jusqu’à présent, un tel transfert n’est pas garanti, ce qui pose des problèmes à de nombreuses entreprises lorsqu’elles souhaitent évaluer ou traiter ultérieurement des données aux États-Unis. La précédente Bouclier de confidentialité et Port Sûr des projets ont échoué devant la Cour de justice européenne parce que de nombreuses exigences en matière de protection des données ne pouvaient pas être respectées.
Le troisième accord actuellement sur la table semble bien plus susceptible de répondre aux exigences de l’UE. Après un an de négociations entre les deux parties et après que le gouvernement américain de Joe Biden a publié de nombreux décrets présidentiels qui ont émis des règlements d’application des lois affectant la collecte et le traitement des données, le bilan global est positif. « Nous constatons une volonté de créer un niveau de protection adéquat pour les personnes concernées dont les données personnelles sont transférées à des entreprises aux États-Unis », a par exemple déclaré le commissaire à la protection des données du gouvernement allemand, Ulrich Kelber.
De plus petites préoccupations demeurent
Il n’y a pas de problèmes fondamentaux avec le texte du certificat d’adéquation, qui confirme qu’aux États-Unis, le niveau de protection des données est au moins similaire à celui de l’UE. L’avis des commissaires à la protection des données des pays de l’UE, par exemple, a souligné que, pour la première fois, il est désormais possible de faire contrôler les violations de la protection des données aux États-Unis. Les particuliers de l’UE ont ainsi la sécurité de pouvoir intenter une action en justice aux États-Unis si leurs droits en matière de protection des données sont violés. Le commissaire à la protection des données de Hambourg, Thomas Fuchs, y voit des « concessions sans précédent » de la part des États-Unis.
Cependant, le cadre de protection des données n’a pas été entièrement exempt de critiques. Par exemple, les commissaires européens à la protection des données ont critiqué le fait que la collecte massive de données sur la base du Loi sur la surveillance des renseignements étrangers devrait continuer à être possible sans ordonnance du tribunal. D’autres questions ont été posées à la Commission européenne sur un certain nombre d’autres points.
En outre, les commissaires à la protection des données ont imposé à la Commission européenne dans leur déclaration que les effets réels du cadre de protection des données soient régulièrement soumis à une révision fondamentale. Un tel réexamen doit avoir lieu au plus tard tous les trois ans. Il s’agit de garantir une protection juridique réellement efficace et une réduction des activités de renseignement.
Le cadre de confidentialité des données devrait entrer en vigueur
D’après l’avis rendu aujourd’hui par les commissaires à la protection des données, les développements ultérieurs sont relativement prévisibles. Le certificat d’adéquation de la Commission européenne sera soumis au Parlement européen, qui ne pourra le rejeter qu’à la majorité absolue – ce qui est peu probable compte tenu de l’avis fondamentalement positif. Cela devrait permettre l’entrée en vigueur de l’accord entre l’UE et les États-Unis.
Cependant, cela ne signifie pas encore que toutes les entreprises pourront transférer sans problème des données de l’UE vers les États-Unis. Pour ce faire, les entreprises en question doivent s’enregistrer auprès du régulateur américain du commerce ou du ministère américain du Commerce. Ce faisant, ils s’engagent à respecter les dispositions négociées, sous le contrôle des autorités susmentionnées. En cas de violation de l’engagement volontaire, d’énormes sanctions peuvent être imposées aux États-Unis.