Tribune Jean-Pierre Blum

« Données, données, moi » ou la surprise du transfert des données personnelles entre l'Europe et les Etats-Unis

Publié le 12/05/2022
Alors que la Russie et l’Ukraine échangent d’explosives amabilités par milliers de tonnes, que les USA et les Européens contribuent (73 milliards de dollars pour les premiers, 8 milliards d’euros pour les seconds) à la défense de Kiev, Ursula von der Leyen pour la Commission européenne et Joe Biden pour les États-Unis ont annoncé – très discrètement - s'être entendus sur un texte qui succédera au Privacy Shield. S'il n'est pas contesté - rien n'est moins sûr -, cet accord pourrait mettre fin à près de deux ans d'insécurité juridique pour les multinationales. « Après le Safe Harbor et le Privacy Shield, annulés - suite à la plainte de Max Shrems, jeune avocat activiste autrichien - respectivement en 2015 et 2020, les deux exécutifs doivent encore convaincre que ce texte respectera les standards européens de protection des données ». (Reuters)

Les États-Unis et la Commission européenne se sont donc engagés à mettre en place un nouveau cadre transatlantique de protection des données, censé favoriser les flux de données transatlantiques et répondre aux préoccupations soulevées par la Cour de justice de l'Union européenne qui sous-tendait le cadre du bouclier de protection de la vie privée UE États-Unis.

Ce cadre devrait rétablir un mécanisme juridique important pour les transferts de données personnelles de l'UE vers les États-Unis. Les États-Unis se sont engagés à mettre en œuvre de nouvelles garanties pour s'assurer que les activités de renseignement d'origine électromagnétique sont nécessaires et proportionnées à la poursuite d'objectifs de sécurité nationale définis, ce qui permettra de garantir la confidentialité des données personnelles de l'UE et de créer un nouveau mécanisme permettant aux personnes de l'UE de demander réparation si elles estiment être illégalement visées par des activités de renseignement d'origine électromagnétique. Cet accord de principe reflète la force de la relation durable entre les États-Unis et l'UE, alors que nous continuons à approfondir notre partenariat fondé sur nos valeurs démocratiques communes.

Cette novation juridique apportera des avantages essentiels aux citoyens des deux côtés de l'Atlantique. Pour les citoyens de l'UE, l'accord comprend de nouveaux engagements de haut niveau en matière de protection des données personnelles. Pour les citoyens et les entreprises des deux côtés de l'Atlantique, l'accord permettra la circulation continue des données qui sous-tendent plus de 1 000 milliards de dollars de commerce transfrontalier chaque année, et permettra aux entreprises de toutes tailles de se concurrencer sur leurs marchés respectifs. Il est l'aboutissement de plus d'un an de négociations détaillées entre l'Union européenne et les États-Unis, après la décision prise en 2020 par la Cour de justice de l'Union européenne, selon laquelle le précédent cadre UE États-Unis, connu sous le nom de « Privacy Shield », ne satisfaisait pas aux exigences juridiques de l'Union.

Un pognon de dingue

Le nouveau cadre transatlantique de protection des données souligne un engagement commun en faveur de la vie privée, de la protection des données, de l'État de droit et de la sécurité collective, ainsi que la reconnaissance mutuelle de l'importance des flux de données transatlantiques pour les citoyens, les économies et les sociétés respectifs. Les flux de données sont essentiels pour les relations économiques transatlantiques et pour toutes les entreprises, grandes et petites, dans tous les secteurs de l'économie. En fait, il y a plus de données qui circulent entre les États-Unis et l'Europe que partout ailleurs dans le monde, ce qui permet à la relation économique entre les États-Unis et l'Union européenne de peser 7.100 milliards de dollars.

Toutes choses étant égales par ailleurs à 0° Kelvin, sans frottement, dans le vide absolu

En garantissant une base juridique durable et fiable pour les flux de données, le nouveau cadre transatlantique pour la protection des données sous-tendra une économie numérique inclusive et compétitive et jettera les bases d'une coopération économique plus poussée. Il répond à la décision Schrems II de la Cour de justice de l'Union européenne concernant la loi américaine régissant les activités de renseignement électromagnétique. En vertu du cadre transatlantique pour la protection des données, les États-Unis ont pris des engagements sans précédent visant à :

- renforcer les garanties en matière de vie privée et de libertés civiles régissant les activités américaines de renseignement électromagnétique ;

- établir un nouveau mécanisme de recours doté d'une autorité indépendante et contraignante ;

- renforcer la surveillance rigoureuse et hiérarchisée des activités de renseignement électromagnétique.

Par exemple, le nouveau cadre garantit que :

- la collecte de renseignements d'origine électromagnétique ne peut être entreprise que si elle est nécessaire à la réalisation d'objectifs légitimes de sécurité nationale, et ne doit pas avoir d'incidence disproportionnée sur la protection de la vie privée et des libertés civiles ;

- les personnes de l'UE peuvent demander réparation auprès d'un nouveau mécanisme de recours à plusieurs niveaux comprenant un tribunal indépendant de révision de la protection des données, composé de personnes choisies en dehors du gouvernement américain, qui aurait toute autorité pour statuer sur les demandes et ordonner des mesures correctives, le cas échéant ;

- les agences de renseignement américaines adopteront des procédures pour assurer une surveillance efficace des nouvelles normes en matière de vie privée et de libertés civiles ;

Les entreprises et organisations participantes qui tirent parti du cadre pour protéger juridiquement les flux de données continueront d'être tenues d'adhérer aux principes du bouclier de protection de la vie privée, y compris l'obligation « d'auto certifier » leur adhésion aux principes par l'intermédiaire du ministère américain du Commerce. Les personnes de l'UE continueront d'avoir accès à de multiples voies de recours pour résoudre les plaintes concernant les organisations participantes, notamment par le biais d'un règlement extrajudiciaire des litiges et d'un arbitrage contraignant.

Ces nouvelles politiques seront mises en œuvre par la communauté du renseignement des États-Unis de manière à protéger efficacement ses citoyens, ainsi que ceux de ses alliés et partenaires, conformément aux protections de haut niveau offertes par ce cadre.

Les équipes du gouvernement américain et de la Commission européenne vont maintenant poursuivre leur coopération en vue de traduire cet arrangement en documents juridiques qui devront être adoptés de part et d'autre pour mettre en place ce nouveau cadre transatlantique de protection des données. À cette fin, ces engagements américains seront inclus dans un décret qui servira de base à l'évaluation de la Commission dans sa future décision d'adéquation.

Pas de droit au couac sinon couic

Dans la presse nationale, on décèle les prémices de critiques importantes. L'ONG None of Your Business de l'activiste autrichien Max Shrems à l'origine de l'invalidation du Privacy Shield avait déposé 101 plaintes dans toute l'Union européenne jugeant illégale l'utilisation de Google Analytics ou de Facebook Connect. En février dernier, la Cnil a acté la validité de la démarche en enjoignant Auchan d'arrêter d'utiliser Google Analytics pour l'analyse du trafic Web sur son site Internet.

En mai 2021, la Cnil avait aussi appelé les établissements d'enseignement supérieur français à trouver des alternatives aux logiciels collaboratifs de Microsoft ou Google. De son côté, le régulateur irlandais en charge de contrôler Facebook, Instagram et WhatsApp devrait statuer dans les semaines à venir sur la sanction à appliquer à leur maison mère Meta pour avoir continué les transferts de données personnelles européennes vers les Etats-Unis. Pour tenter d'infléchir la décision, Meta, en février dernier, n'avait rien de moins que menacé de fermer Instagram en Europe.

Après la validation, le risque d'invalidation

« Les professionnels de la vie privée dans le monde peuvent finalement respirer », se réjouit Caitlin Fennessy, la représentante de l'IAPP, l'Association internationale des juristes et des informaticiens spécialisés sur le sujet. Plus sceptique, l'ONG None of Your Business se désole qu'il ne s’agisse que d'un accord politique et non d'un texte définitif. « Il est regrettable que les États-Unis et l'Europe n'aient pas profité de la situation pour parvenir à un accord de non-espionnage, avec des garanties entre démocraties partageant les mêmes idées », a réagi Max Schrems dans un communiqué. Il a ajouté, menaçant : « Si le nouveau texte final n'est pas conforme au droit européen, nous ou un autre groupe le contesterons probablement. Au final, la Cour de justice tranchera une troisième fois. »

Le diable étant dans les détails et les politiques étant passés maîtres dans l’art de faire du vide avec du plein, une décision du 4 mars de la Cour suprême des États-Unis, permet au gouvernement fédéral d'invoquer devant un tribunal son privilège du « secret d'État » lorsque des personnes intentent des poursuites contre des activités de surveillance potentiellement illégales.

En somme, le nouvel accord ne souffrira aucune exception sauf celles que décidera l’Oncle Sam. C’est-à-dire toutes et aux noms des Cloud Act et autre Patriot Act célébrant l’extraterritorialité juridique américaine. La raison d’Etat a décidément des tas de raisons. Sans les normes, sans les produits, sans les tuyaux, sans la puissance, avec un droit très gauchi par les lobbies américains, pas sûr que nous ayons « tout pour réussir » comme on dit chez BFMTV !

 


Source : decision-sante.com