En matière de protection des données, des désaccords subsistent entre l’Union européenne (UE) et les États-Unis d’Amérique (USA). Ces dernières années, cela a surtout causé des problèmes aux entreprises technologiques américaines. Aujourd’hui, l’actuel président américain Joe Biden semble vouloir prendre des mesures décisives contre cette situation. Il a donc poussé la nouvelle édition du soi-disant Privacy Shield encore un peu plus loin.
Les données des citoyens de l’UE doivent être sécurisées
Ces dernières années, des entreprises américaines comme Meta ou Google ont dû, dans certains cas, se voir infliger de lourdes amendes dans l’UE. La raison en est une protection insuffisante des données. Aujourd’hui encore, des masses de données provenant de citoyens de l’UE sont envoyées aux États-Unis pour y être traitées. Les défenseurs de la protection des données de l’UE s’y opposent depuis un certain temps avec véhémence. Après tout, rien ne garantit aux citoyens de l’UE que leurs données ne seront pas examinées par les services communautaires, d’autres autorités américaines ou même des entreprises. Pour résoudre le problème, les États-Unis et l’UE ont convenu en mars que ce qu’on appelle le Privacy Shield devrait avoir un successeur.
Joe Biden a désormais franchi une nouvelle étape importante sur la voie de l’accord final. Dans un soi-disant décret, le président américain ouvre la voie à une meilleure protection des données des citoyens européens aux États-Unis. La Maison Blanche a publié l’ordonnance sur son propre site Internet. Il y a cependant un problème. Par exemple, même dans la nouvelle version de l’accord sur la protection des données, la surveillance de masse reste autorisée. Étant donné que la surveillance de masse est l’une des raisons pour lesquelles la Cour de justice de l’Union européenne (CJCE) a déclaré le bouclier de protection des données initial contraire au droit européen, cela semble un peu déroutant.
Il n’y avait pas davantage de protection des données ?
Si l’on regarde le décret du président américain, les défenseurs de la protection des données risquent au moins de faire un peu le nez. Après tout, le Privacy Shield 2.0 ne semble pas vraiment conforme à la législation européenne sur la protection des données à première vue. Entre autres choses, la collecte en vrac continuera d’être autorisée s’il y a des raisons de le faire. Il s’agit d’une surveillance massive des canaux de télécommunications. Selon le décret, ce type de collecte de données devrait être possible pour les services de renseignement s’il s’agit, par exemple, de lutte contre le terrorisme, de menaces de cyberattaques, de prolifération d’armes de destruction massive ou de crimes financiers de portée internationale.
Le décret prévoit également une nouvelle procédure de réclamation. Avec son aide, les citoyens de l’UE devraient pouvoir se défendre contre les activités des autorités. Ceci est basé sur un système en deux étapes. Tout d’abord, un agent des droits civils vérifiera si la plainte est justifiée. Dans un deuxième temps, un tribunal de contrôle de la protection des données doit intervenir. Ce comité de trois membres doit être mis en place prochainement par le procureur général des États-Unis.
Les défenseurs de la protection des données menacent de poursuites
Avec le décret du président américain, la balle est désormais de retour dans le camp de l’UE. Il appartient donc désormais à la Commission européenne d’examiner le décret en détail. Dans le cadre d’une décision d’adéquation, l’organisme doit ensuite déterminer si la réglementation est compatible ou non avec la législation européenne sur la protection des données. Cependant, étant donné que la Commission doit également consulter d’autres organes, tels que le comité européen de protection des données, les experts estiment qu’une décision ne sera probablement pas réaliste avant le début de l’année prochaine. Toutefois, si la Commission se prononce en faveur du nouveau Privacy Shield lors de son test d’adéquation, ce sera loin d’être un succès pour les États-Unis. Après tout, les défenseurs de la protection des données montent déjà sur les barricades.
L’un des plus célèbres d’entre eux est probablement l’Autrichien Max Schrems. Dans une première déclaration, Schrems a exprimé une vision tout sauf positive du décret du président américain. Il souligne plutôt ici que les données des citoyens de l’UE peuvent toujours être filtrées par des logiciels dits espions aux États-Unis – même sur la base du nouveau décret. Étant donné que la CJCE a déclaré à deux reprises que cette procédure était illégale, l’examen de la Commission est en réalité inutile. Puisque Schrems a joué un rôle majeur dans les deux premiers arrêts de la CJCE, il sait mieux que quiconque de quoi il parle.
À quand une sécurité juridique en matière de protection des données ?
Il n’est pas seulement dans l’intérêt des citoyens européens qu’un dénominateur commun soit enfin trouvé entre l’UE et les États-Unis sur la question de la protection des données. Les grandes entreprises technologiques comme Meta insistent également sur ce point depuis des années. En mars dernier, Meta a dû payer 17 millions d’euros d’amende pour violation du règlement général sur la protection des données (RGPD). Il existe donc probablement un accord de principe sur la nécessité de mettre enfin en place un bouclier de protection des données, également formulé en termes de droit européen. C’est également ce que souhaite voir l’association de l’industrie informatique Bitkom. Contrairement à Schrems, Bitkom considère également le nouveau décret comme un « pas en avant dans la sécurisation des transferts internationaux de données », selon la direction de l’association. Toutefois, étant donné que le décret, sous sa forme actuelle, ne résisterait pas à un procès devant la CJCE, il n’y aura aucun moyen d’éviter une révision. Nous sommes curieux de voir quel sera le résultat du test d’adéquation de la Commission européenne.