La Commission européenne a annoncé, le 13 décembre 2022, qu’elle lançait une procédure afin d’aboutir à un nouvel accord qui encadrait les transferts de données entre l’Union européenne (UE) et les États-Unis. Cette annonce constitue un progrès des négociations en cours depuis l’invalidation du Privacy Shield en 2020, l’ancien cadre législatif qui encadrait le transfert de données transatlantique des entreprises.

La Commission européenne travaille pour aboutir à un accord avec les États-Unis

Dans un communiqué, la Commission européenne a annoncé le lancement lancé « d’un processus en vue de l'adoption d'une décision d'adéquation concernant le cadre de protection des données UE-États-Unis, qui facilitera la circulation transatlantique sécurisée de données ». En d’autres termes, l’UE est désormais prête à travailler pour définir un nouveau cadre légal pour le transfert de données entre l’Europe et les États-Unis.

Alors que le Privacy Shield mis en place en 2016 permettait la circulation des données personnelles de l’Espace économique européen (EEE) vers les États-Unis, celui-ci a été invalidé par la Cour de Justice de l’Union européenne (CJUE). En effet, avec l'application du RGPD en 2018, l’instance judiciaire a conclu que l'accord contrevenait à ce nouveau cadre législatif. Il a été invalidé via la décision Schrems II en juillet 2020.

Normalement, le RGPD n'autorise le transfert de données que vers des pays assurant une protection équivalente aux informations des citoyens européens, ce n'est pas le cas des États-Unis. En l'absence d'accord, la situation est suspendue, les entreprises sont confrontées à une insécurité juridique. Cela explique que nombreuses d'entre elles réclament à cor et à cri un nouvel accord.

L’Administration Biden va devoir faire plusieurs concessions pour satisfaire l’UE

Depuis l’invalidation du Privacy Shield, UE et les États-Unis tentent de négocier afin de trouver son successeur. Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) et autres mesures qui régissent le traitement des données en Amérique ne sont clairement pas adaptés aux yeux des régulateurs européens. L’enjeu pour Washington est d'élever le niveau de sécurité des données européennes pour satisfaire les dispositions du RGPD et ainsi éviter une nouvelle décision de justice défavorable.

En mars 2022, un « accord de principe » avait été trouvé pour « un nouveau cadre pour les flux de données transatlantiques » selon les dires d’Ursula von der Leyen, la présidente de la Commission européenne. Toutefois, Max Schrems, fondateur de l’association de protection des données européennes Noyb, à l’origine de l’annulation du Privacy Shield et de Safe Harbor, son prédécesseur, avait exprimé son mécontentement. « On ne voit pas comment cela pourrait passer le test de la CJUE. Les accords précédents ont échoué deux fois à cet égard », affirmait-il.

Toutefois, en octobre dernier, Joe Biden a officiellement signé un décret dans le but de protéger les données partagées entre les États-Unis et l'Europe. Avec ce nouveau texte, l'Administration Biden impose une limite d'accès aux données par les services de renseignements américains. Grâce à ce nouveau décret, la Commission européenne semble être tombée officiellement d’accord avec les États-Unis avec le lancement de ce projet de décision d'adéquation.

Dider Reynders, le commissaire à la Justice affirme que l’analyse qu’il a menée avec ses collaborateurs « a montré que des garanties solides sont désormais en place aux États-Unis pour permettre les transferts en toute sécurité de données à caractère personnel de part et d’autre de l’Atlantique ». Il a également publié un tweet en ce sens, montrant que si l'UE est prête à lancer le processus, c'est d'abord parce qu'elle a reçu des garanties la confortant sur l'aboutissement d'un accord bilatéral.

Noyb se tient prêt à contester la décision de la Commission européenne

Suite à l’annonce du processus, Noyb a immédiatement fait part de ses craintes dans un communiqué. Elle considère que les changements dans la loi américaine depuis l’invalidation du Privacy Shield semblent minimes par rapport à ce qui est attendu par la Cour de Justice de l’Union européenne. L’association est une nouvelle fois convaincue que la CJUE ne sera pas satisfaite de cette décision d’adéquation en vertu du RGPD.

« Nous analyserons le projet de décision en détail dans les prochains jours », précise Max Scherms. « Il semble que la Commission européenne ne fait que rendre des décisions similaires encore et encore - en violation flagrante de nos droits fondamentaux », souligne-t-il. Le fondateur de Noyb pointe aussi le doigt sur les diverses exigences de la CJUE inscrites dans le rapport Schrems II et qui n'aurait pas été mis en place par les États-Unis, du moins pour l'instant.

Ce projet de décision d’adéquation devrait être examiné dans les prochains jours par le comité européen de la protection des données (EDPB) ainsi que par l’ensemble des pays membres de l’Union. Les conclusions devraient être publiées au plus tôt au deuxième trimestre 2023.