L’Europe adopte une nouvelle législation pour le transfert de données vers les États-Unis

Après de longues négociations, la Commission européenne annonce l’émergence d’un nouveau cadre législatif sur le transfert de données vers les États-Unis. Un accord qui succède au Privacy Shield et qui met un terme au flou juridique.

Jamais deux sans trois. L’Union européenne adopte officiellement une nouvelle législation sur le transfert des données vers les États-Unis. Ce lundi 10 juillet, la Commission européenne a annoncé la fin des négociations avec le pays de l’oncle Sam. Un accord qui, cette fois, devrait mettre un terme définitif au flou juridique qui entoure le stockage des données de citoyens européens sur le sol américain.

Pour rappel, le dernier dispositif, baptisé Privacy Shield, avait été invalidé en 2020 par la Cour de justice de l’Union européenne (CJUE). La raison ? Celle-ci estimait à l’époque que le bouclier de protection des données ne pouvait pas garantir le respect du RGPD, une fois les données stockées aux États-Unis.

Un accès limité

Le Data Privacy Framework, c’est donc la nouvelle mouture de ce bouclier. Bruxelles affirme que l’accord répond désormais aux inquiétudes de la CJUE, notamment grâce à l’ajout de nouveaux garde-fous. Par exemple, l’accès des agences de renseignement américaines aux données des utilisateurs européens sera limité à ce qui est « nécessaire » et « proportionné ».

Conformément à ce nouveau texte, le président Joe Biden a également annoncé la création d’un tribunal spécifique. La Data Protection Review Court (DRPC), qui règlera les litiges entre les citoyens européens et les États-Unis. Concrètement, si un ressortissant de l’UE estime que ses données ont été illégalement collectées par les renseignements américains, il sera en mesure de demander la suppression de ses données. Si tant est que la DPRC constate une violation effective de la législation européenne.

Un accord temporaire ?

Tous ne sont pourtant pas d’accord sur l’utilité du texte. De son côté, la présidente de la Commission, Ursula von der Leyen, souligne que « les États-Unis ont pris des engagements sans précédent pour mettre en place le nouveau cadre ». Suffisantes, apparemment, pour garantir « une circulation sécurisée des données aux Européens et apporter une sécurité juridique aux entreprises des deux côtés de l’Atlantique ».

Cependant, Max Schrems, à la tête de l’association Noyb, ou None of your business, dénonce la « folie » de ce texte. « Tout comme le Privacy Shield, le dernier accord ne repose pas sur des changements matériels, mais sur des intérêts politiques », déclare-t-il dans un communiqué. Le militant autrichien a d’ailleurs d’ores et déjà indiqué qu’un recours sera déposé devant la Cour de justice de l’Union européenne.

« Simplement annoncer que quelque chose est “nouveau”, “solide” ou “efficace” ne suffit pas devant la Cour de justice », assène-t-il. « Il aurait fallu des modifications de la législation américaine sur la surveillance pour que cela fonctionne – et nous ne les avons tout simplement pas ». Certains s’en souviennent peut-être, mais c’est aussi Max Schrems qui avait introduit un recours contre le Privacy Shield devant la CJUE. Reste à savoir si la troisième fois sera la bonne, ou si la Commission essuiera un nouvel échec.