Ursula von der Leyen, la présidente de la Commission européenne a révélé la grande nouvelle au côté du président américain Joe Biden le 25 mars : un « accord de principe » a été trouvé pour « un nouveau cadre pour les flux de données transatlantiques ». Une déclaration attendue depuis près de deux ans et l’annulation du Privacy Shield.

Un Privacy Shield attendu d’urgence !

Joe Biden en visite en Europe, en marge de la guerre en Ukraine, en a profité pour régler un profond litige avec l’Union européenne (UE), le futur Privacy Shield. Cet accord qui autorisait les transferts de données des deux côtés de l’Atlantique a été cassé en 2020 par la Cour de Justice de l’Union (CJUE) car il contrevenait au RGPD. Le règlement interdit le transfert de données personnelles européennes, vers un pays avec un niveau de protection de ces données inférieur au Vieux Continent.

Depuis, les États-Unis et l'Europe se creusent la tête pour trouver un successeur, le troisième, viable juridiquement. En attendant l’issue des négociations, les transferts de données ont continué avec une relative mansuétude des autorités de régulation européennes, mais en laissant les entreprises dans l’incertitude.

Depuis quelques mois, la pression sur les négociateurs s’est accentuée. La CNIL et certaines de ses homologues ont décidé de s’en prendre à Google Analytics sur les transferts de données transatlantiques. L’autorité irlandaise, pourtant bien frileuse, a accéléré dans le dossier Meta sur ce même sujet, poussant le groupe de Mark Zuckerberg à agiter la perspective d’un adieu à l’Europe.

Les GAFAM et toutes les entreprises européennes et américaines transférant des données entre les deux rives de l’Atlantique peuvent pousser un ouf de soulagement ce 25 mars. Google a déjà salué la déclaration d’Ursula von der Leyen auprès de Techcrunch.

Quelques petits détails à régler, rien de bien méchant…

Attention cependant à ne pas crier victoire trop tôt. Pour le moment, aucun détail de l’accord n’a été fourni. Les détails techniques et juridiques doivent encore être réglés dans les semaines à venir.

La veille des annonces de la présidente de la Commission, Politico a expliqué qu’une offre américaine transmise en février devrait servir de base. Jusqu’à présent, Bruxelles a repoussé toutes les offres américaines, les jugeant trop éloignés des standards européens en matière de protection des données.

La surveillance des renseignements américains sur les données personnelles européennes, traumatisme de l’affaire Snowden de 2013, est la principale pierre d’achoppement entre les parties.

Pour convaincre leurs homologues, les négociateurs américains auraient émis plusieurs propositions tournant autour de la création d’une agence sous la direction du département de la Justice américain. Elle serait chargée, grâce à un large pouvoir d’enquête, de surveiller le traitement des données européennes par les renseignements. Les Européens auraient également la possibilité de contester la collecte de leurs données devant les tribunaux fédéraux américains.

Haut les cœurs…

Ces propositions, la dernière en particulier, semblent à la hauteur des enjeux. Cependant, Politico rapporte qu’une décision de la Cour suprême américaine début mars pourrait bousculer ce fragile jeu d’équilibre juridique. La Cour a autorisé le gouvernement fédéral américain à invoquer le secret d’État sur des affaires de surveillance si la sécurité nationale est en jeu.

Ces barrières dressées entre l’accord de principe et sa concrétisation incitent au pessimisme. Ursula von der Leyen a néanmoins assuré que les négociateurs ont trouvé un accord entre sécurité et protection des données. Noyb, l’association de protection des données européennes créée par Max Schrems, tombeur du Privacy Shield et de son prédécesseur, Safe Harbor en 2015, reste particulièrement dubitative.

Dans une réaction à chaud, Max Schrems a déploré, « Il est regrettable que l'UE et les États-Unis n'aient pas profité de cette situation pour parvenir à un accord de 'non-espionnage', avec des garanties de base entre démocraties partageant les mêmes idées ».

Sur la base des éléments révélés, et notamment le refus des États-Unis de revenir sur leurs lois de surveillance, Noyb a jugé « On ne voit pas comment cela pourrait passer le test de la CJUE. Les accords précédents ont échoué deux fois à cet égard ». L’association a prévenu qu’elle pourrait faire tomber en quelques mois un troisième accord ne respectant pas le RGPD devant la CJUE. Les prochaines semaines s’annoncent mouvementées sur le front des données.