Transtlantic Data Privacy Framework : La nouvelle décision d’adéquation entre les Etats-Unis et l’Europe adoptée par la Commission Européenne
Ce lundi 10 juillet, la Commission Européenne a adopté un accord transatlantique autorisant à nouveau les transferts de données personnelles entre l’Europe et les Etats-Unis. Néanmoins, l’association autrichienne « None of your business » (NOYB) a l’intention de contester cette décision.
Image par pressfoto via Freepik
Pourquoi les précédentes décisions d’adéquations ont-elles été invalidées ?
Comme nous l’avons évoqué, il convient de revenir sur le Safe Harbor (1) et le Privacy Shield (2).
Safe Harbor
En 1998, une directive interdisant le transfert de données personnelles vers des pays non-membres de l’Espace Économique Européen (EEE) entre en vigueur. Le Safe Harbor, traduit par « sphère de sécurité », est un ensemble de principes qui permettait à certaines entreprises américaines d'obtenir l'autorisation de transférer des données personnelles de l'EEE vers les États-Unis.
Le 6 octobre 2015, l’Avocat autrichien et activiste Maximillian Schrems obtient l’invalidation de l’accord Safe Harbor par la Cour de Justice de l’Union Européenne. Les juges ont considéré que les Etats-Unis n’offraient pas un niveau de protection adéquat en raison d’une législation américaine permettant aux pouvoirs publics, et surtout les services de renseignement, d’accéder de manière généralisée au contenu des communications électroniques.
En outre, les Etats-Unis considèrent que seuls les citoyens américains peuvent bénéficier des droits constitutionnels. Les « étrangers » n’ont donc pas le droit de se prévaloir du droit au respect de la vie privée.
Cette législation américaine est donc au cœur du problème, son essence même étant en contradiction avec le respect au droit fondamental à la vie privée, duquel découle naturellement l’interdiction de la surveillance de masse par la puissance publique.
2. Privacy Shield
Le 12 juillet 2016, la Commission Européenne adopte un nouvel accord avec les Etats-Unis, le Privacy Shield « Bouclier de protection des données personnelles » et déclare que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-États-Unis protègent selon les normes de protection des données dans l'Union Européenne. »
La décision d’adéquation est attaquée par diverses associations, dont NOYB et la Quadrature du Net, en raison de cette même législation américaine évoquée précédemment, qui permet aux services de renseignement fédéraux d’accéder aux données transférées.
Le 16 juillet 2020, à l’occasion d’un recours préjudiciel réalisé par la Haute Cour d’Irlande, la CJUE invalide le Privacy Shield en déclarant que le niveau de protection est trop faible : « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».
En quoi la nouvelle décision d’adéquation diffère-t-elle des précédentes ?
Le 7 octobre 2022, le Président Américain Joe Biden a adopté le décret présidentiel 14086, renforçant les garanties concernant la collecte et l’utilisation des données personnelles par les services de renseignements américains[1].
Ce décret pose des principes qui régiront les activités de renseignement dès lors que des données personnelles sont impliquées. Néanmoins, quelles garanties pour les résidents Européens ? Quelle autorité contrôlera l’application du décret ? Ce décret ne semble pas être coercitif, aucune sanction n’est prévue, et son application est large.
En effet, il suffit de se prévaloir d’une des finalités listées, comme « comprendre ou évaluer les capacités, les intentions ou les activités des organisations étrangères, y compris les organisations terroristes internationales, qui constituent une menace actuelle ou potentielle pour la sécurité nationale des États-Unis ou de leurs alliés ou partenaires » pour que les services de renseignements aient accès aux données personnelles des résidents Européens dans les mêmes conditions qu’avant l’accord.
En outre, les précédents accords ont été invalidés en raison d’une surveillance de masse disproportionnée. Afin de résoudre ce problème, les Etats-Unis ont déclaré dans le décret 14086 que la surveillance effectuée par les services de renseignement serait proportionnée[2].
Autrice : Emmanuelle Bensoussan-Amsily
[1] https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
[2] https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu