En juillet 2020, un accord transatlantique portant sur la protection des données - le privacy shield - était proposé puis invalidé par la Cour de Justice de l’Union Européenne. Après quasiment 3 ans d’absence de cadre juridique défini, Ursula Von Der Leyen et Joe Biden signaient un accord de principe sur un nouveau texte le 25 mars dernier.

La question reste à ce jour de savoir si cette nouvelle proposition saura répondre aux exigences de la CJUE et si, enfin, les entreprises pourront effectuer des transferts de données vers les États-Unis en assurant à leurs utilisateurs la protection de leurs données.

Un accord transatlantique attendu

La présidente la commission européenne et le président des États-Unis ont annoncé la signature d’un accord de principe concernant un nouveau cadre légal transatlantique. Après le rejet de Safe Harbor et Privacy Shield, les entreprises qui effectuent des transferts de données depuis l’Europe vers les États-Unis se trouvent dans une insécurité juridique, les obligeant à avoir recours à des Clauses Contractuelles Types (CCT) jusqu’à aujourd’hui. C’est pourquoi cet accord sur la protection des données est tant attendu de notre côté de l’Atlantique.

Dans son communiqué datant du 6 avril dernier, le CEPD (Comité Européen de la Protection des Données) prévient cependant que ce texte devra se traduire par des propositions juridiques concrètes et répondre aux exigences européennes pour qu’il puisse être validé.

Des propositions juridiques concrètes pour assurer la protection des données

Selon le RGPD, pour que cet accord puisse être mis en place, il doit être proposé et validé par le Comité Européen de la Protection des Données. Il partira de la jurisprudence de la CJUE actuelle et la fera évoluer afin d’éclairer certaines zones d’ombre qui persistent au sein de cette dernière, ne lui permettant pas d’assurer correctement la protection des internautes européens. Rappelons qu’un des principaux arguments avancés lors du rejet des deux dernières propositions concernait l’accès aux données personnelles traitées par les entreprises et les autorités administratives considéré comme incompatible avec les exigences européennes. La CJUE évoquait également sa préoccupation quant aux lois de surveillance américaines.

In fine, les propositions devront garantir un niveau satisfaisant de protection des données garanti par les autorités étasuniennes.

Protéger les internautes de l’Espace Economique Européen (EEE)

Au vu de la quantité de données qui transitent de l’Europe vers les États-Unis, il est primordial que des mesures soient prises pour protéger la vie privée et les données personnelles des individus de l’Espace Economique Européen. Cet accord aura pour but principal de protéger les citoyens d’une part, et les exportateurs de données d’autre part. Par conséquent, la CJUE veillera à ce que le cadre légal proposé assure que la collecte des données personnelles pour la sécurité nationale soit uniquement utilisée si nécessaire et ce de manière proportionnée. Elle vérifiera par ailleurs dans quelle mesure les mécanismes de recours indépendants respectent le droit des individus de l’EEE.

Ce nouvel accord transatlantique et sa validation sont particulièrement attendus par les entreprises européennes puisqu'il facilitera le transfert des données d'un continent à l'autre. Reste à savoir si les propositions juridiques concrètes sauront répondre aux préoccupations mises en avant par la CJUE et convaincre le CEPD.