L’accord politique conclu à la fin du mois dernier entre l’Union européenne et les États-Unis sur un nouveau pacte transatlantique de transfert de données, qui vise à mettre fin à des années d’incertitude juridique pour les entreprises exportant des données depuis le bloc, n’est pas encore conclu.
L’accord de principe fait face examen minutieux dans les mois à venir une fois le texte intégral publié – et fera très probablement face à de nouveaux (et rapides) défis juridiques s’il est adopté, donc tout dépend des détails.
Hier, le comité européen de la protection des données (EDPB), qui conseille sur le respect de la législation européenne sur la protection des données, a publié une déclaration indiquant où il dirigera son attention lorsqu’il examinera ce détail – disant qu’il accordera « une attention particulière à la façon dont cela l’accord politique se traduit par des propositions juridiques concrètes.
« Le CEPD attend avec impatience d’évaluer attentivement les améliorations que le nouveau cadre pourrait apporter à la lumière du droit de l’UE, de la jurisprudence de la CJUE et des recommandations précédentes du comité, une fois que le comité européen aura reçu tous les documents justificatifs de la Commission européenne », a écrit le comité.
« En particulier, le CEPD analysera si la collecte de données personnelles à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionné. En outre, le CEPD examinera comment le mécanisme de recours indépendant annoncé respecte le droit des personnes de l’EEE à un recours effectif et à un procès équitable. Plus précisément, le CEPD examinera si toute nouvelle autorité faisant partie de ce mécanisme a accès aux informations pertinentes, y compris les données à caractère personnel, dans l’exercice de sa mission et si elle peut adopter des décisions contraignantes pour les services de renseignement. Le CEPD examinera également s’il existe un recours juridictionnel contre les décisions ou l’inaction de cette autorité.
Le CEPD a également averti que l’accord politique n’est pas encore un accord juridique – soulignant que les exportateurs de données doivent continuer à se conformer à la jurisprudence du plus haut tribunal du bloc dans l’intervalle, en particulier avec la décision de juillet 2020 de la CJUE, alias Schrems II, qui a annulé le dernier accord de transfert de données UE-États-Unis, le bouclier de protection des données UE-États-Unis.
Parlant de l’accord politique conclu le mois dernier pour remplacer le défunt Privacy Shield, l’administration Biden a déclaré que les États-Unis s’étaient engagés à mettre en place de «nouvelles garanties» qui, selon elle, garantiraient que les activités de collecte de données des agences de surveillance de l’État seront «nécessaires et proportionnés » et liés à des « objectifs de sécurité nationale définis ».
Le conflit entre la primauté des lois américaines sur la surveillance et les solides droits à la vie privée de l’UE reste le schisme fondamental – il est donc difficile de voir comment tout nouvel accord pourra résister à de nouvelles contestations judiciaires à moins qu’il ne s’engage à imposer des limites strictes aux programmes américains de surveillance de masse.
L’accord de remplacement devra également créer un moyen approprié pour les citoyens de l’UE de demander et d’obtenir réparation s’ils pensent que les agences de renseignement américaines les ont illégalement ciblés. Et cela s’annonce également difficile.
Le mois dernier, avant l’annonce de l’accord politique, The Hill a rendu compte d’une décision de la Cour suprême des États-Unis dans une affaire liée à la surveillance du FBI qui, selon lui, rendait plus difficile la possibilité d’un accord – alors que le tribunal renforçait le privilège des secrets d’État pour les affaires d’espionnage en concluant que le Congrès n’a pas éliminé ce privilège lorsqu’il a promulgué des réformes de la surveillance dans le Foreign Intelligence Surveillance Act (FISA).
«Bien que l’opinion laisse ouverte la possibilité que les gens… puissent néanmoins poursuivre des réclamations basées sur des informations publiques sur la surveillance du gouvernement, la plupart des gens ont besoin d’informations sensibles du gouvernement pour aider à prouver que sa surveillance était illégale. La décision pourrait permettre au gouvernement de protéger plus facilement ces informations des juges, et donc plus difficile pour la plupart des personnes contestant la surveillance de prouver leurs allégations et d’obtenir justice devant les tribunaux », a rapporté la publication.
La nécessité de réformes plus profondes de la FISA a été un appel clé des critiques des précédents accords de transfert de données entre l’UE et les États-Unis (avant Privacy Shield, il y avait Safe Harbor – qui a été annulé par la CJUE en 2015).
Le mois dernier, la Maison Blanche a déclaré que l’accord conclu en principe permettrait aux citoyens de l’UE de « demander réparation auprès d’un nouveau mécanisme de recours à plusieurs niveaux qui comprend un tribunal indépendant de révision de la protection des données composé de personnes choisies en dehors du gouvernement américain qui auraient pleine autorité pour statuer sur les réclamations et ordonner les mesures correctives nécessaires.
Cependant, le statut juridique de cette « cour de révision » sera essentiel, comme le souligne la déclaration de l’EDPB.
De plus, si la Cour suprême des États-Unis adopte un point de vue différent qui annule essentiellement tout accord promis par l’administration Biden en rendant impossible pour les citoyens de l’UE d’obtenir les informations dont ils ont besoin pour pouvoir porter plainte contre le gouvernement américain, cela saperait le capacité des citoyens de l’UE à réellement obtenir réparation. … Et, eh bien, la CJUE a clairement indiqué que les personnes de l’UE soumises à une surveillance illégale dans un pays tiers doivent disposer d’un moyen authentique et significatif de poursuivre leur responsabilité.
La déclaration de l’EDPB élucide exactement ces préoccupations – le conseil signalant que toute « nouvelle autorité » créée dans le cadre d’une demande de réparation aura besoin « d’accéder aux informations pertinentes, y compris les données personnelles » afin de pouvoir être à la hauteur de cette mission et devra également pouvoir adopter des décisions contraignantes pour les services de renseignement.
Il convient de rappeler que le régime de « médiateur » du bouclier de protection des données, qui a été testé dans le cadre du bouclier de protection des données, n’a pas été retenu par la CJUE – à la fois pour des raisons d’indépendance et en raison de l’incapacité du médiateur à adopter des décisions contraignantes pour les services de renseignement.
Il reste à voir dans quelle mesure une « cour de révision de la protection des données » serait différente à cet égard.
Max Schrems, le militant de la protection de la vie privée de l’UE qui a réussi à faire échouer les deux derniers accords de transfert de données entre l’UE et les États-Unis, reste sceptique quant au fait que le dernier « correctif » offre quelque chose de substantiellement différent – tweetant récemment une autre métaphore visuelle accrocheuse pour illustrer sa première évaluation :
À défaut d’une véritable réforme de la surveillance aux États-Unis, il se pourrait bien que la quadrature du cercle du transfert de données soit un défi aussi ardu qu’il l’a prouvé les deux dernières fois autour du bloc. Mais même si l’impératif politique au sein de l’UE de conclure un accord l’emporte sur des lacunes juridiques évidentes – comme ce fut le cas lorsque la dernière Commission a ignoré les préoccupations et adopté le bouclier de protection des données – cela signifiera simplement que les deux parties gagnent du temps jusqu’à ce que la prochaine CJUE frappe.
Probablement pas beaucoup de temps non plus.
Alors que Safe Harbor a duré 15 ans, Privacy Shield n’a duré que quatre ans – et Schrems a suggéré qu’une nouvelle contestation d’un autre remplacement défectueux serait accélérée dans la CJUE « dans les mois » suivant la décision finale de l’adopter. Les législateurs européens ont donc été prévenus.