Les négociations entre l’Union européenne (UE) et les États-Unis sur les transferts de données des deux côtés de l’Atlantique se poursuivent. Une délégation américaine dirigée par les responsables du Conseil national de sécurité est attendue à Bruxelles cette semaine du 13 septembre. Une précédente session s’est déroulée aux États-Unis durant l’été.

Un troisième accord sur les transferts de données personnelles à venir ?

Ces discussions sont la conséquence d’une décision de la Cour de Justice de l’Union européenne (CJUE) de juillet 2020. La plus haute instance juridique du Vieux Continent avait invalidé l’accord « Privacy Shield », de 2016, qui encadrait les transferts de données avec le Nouveau Monde. Ce dernier en remplaçait lui-même un autre, « Safe Harbor », déjà cassé en 2015 par la CJUE.

Normalement, les transferts de données personnelles des Européens sont possibles vers des pays ayant un même niveau de protection que l’UE. C’est loin d’être le cas des États-Unis. La situation locale est même pire depuis l’adoption du Clarifying Lawful Overseas Use of Data Act (CLOUD Act) en 2018, texte autorisant l’accès aux données des opérateurs télécoms et des fournisseurs de services cloud par les autorités américaines.

Tout l’enjeu des pourparlers va être de convaincre les États-Unis de mettre en place une procédure pour qu’un Européen puisse contester efficacement les mesures de surveillance américaines. Le but est d’empêcher une interruption du transfert de données, que les entreprises puissent toujours stocker les données européennes aux États-Unis. Pour le moment, la CJUE a accordé des exceptions et un délai pour le préserver. La Commission européenne fournit des contrats prêts à l’emploi pour maintenir les échanges, mais ces solutions sont temporaires.

L’autorité irlandaise de protection de la vie privée a adressé un avant-projet d’ordonnance à Facebook visant à suspendre tout transfert de données personnelles. Facebook, dont le siège Europe est à Dublin, a prévenu qu’il serait « incapable d'exploiter des parties importantes de son activité en Europe » si l’ordonnance venait à entrer en vigueur.

Théoriquement, le texte pourrait affecter toutes les entreprises Tech soumises aux lois américaines de surveillance : le cloud, les réseaux sociaux, la publicité… Selon des estimations de juillet 2020, l’activité de 5 300 entreprises est menacée, des milliards de dollars seraient en jeu.

Quelles concessions sont prêts à faire les États-Unis à l’UE ?

Un responsable de la Maison-Blanche a confié au Wall Street Journal que les deux parties « travaillent ensemble pour faire progresser notre engagement en faveur de la vie privée, protéger les données et empêcher les perturbations qui nuiront aux entreprises et aux familles américaines chez nous ».

Un projet de loi fédérale bipartisan a été déposé aux États-Unis sur la confidentialité des données. Si le texte aboutit, il pourrait élever le niveau de protection aux normes européennes et ainsi régler le problème. Autrement les autorités américaines vont devoir faire des concessions sur leurs lois de surveillance, s’ils sont prêts à le faire. Il est déjà établi que le cycle de négociation bruxellois qui s’amorce tout juste ne sera pas le dernier.