L’Union européenne a adopté un nouvel accord transatlantique sur l’adéquation des données avec les États-Unis.
La décision très attendue signifie qu’il y a une résolution immédiate de l’incertitude juridique concernant les exportations de données personnelles des utilisateurs de l’UE par les entreprises américaines – un problème qui a touché des milliers d’entreprises ces dernières années, grandes et petites, y compris Meta et Google pour n’en nommer que quelques-uns. des exemples les plus médiatisés.
S’exprimant lors d’une conférence de presse annonçant l’adoption de la décision d’adéquation des États-Unis, le commissaire européen à la justice Didier Reynders s’est dit confiant que cette fois – le troisième accord de transfert de données de haut niveau que l’exécutif du bloc a accordé aux États-Unis – sera en effet la troisième fois chanceuse.
« Avec l’adoption de la décision d’adéquation, les données personnelles peuvent désormais circuler librement et en toute sécurité de l’Espace économique européen vers les États-Unis sans aucune autre condition ni autorisation », a-t-il déclaré. « Par conséquent, la décision d’adéquation garantit que les données peuvent être transmises entre l’Union européenne et les États-Unis sur la base d’un accord stable et fiable qui protège les individus et offre une sécurité juridique aux entreprises. »
Un accord politique sur le cadre de confidentialité des données UE-États-Unis (DPF) a été annoncé en mars 2022, mais il a fallu plus d’un an pour que tous les « i » soient en pointillés et en croisés. Alors que l’ancien mécanisme de simplification des exportations de données sur l’étang a été invalidé par les juges de l’UE il y a près de trois ans. Ainsi, l’adoption d’un nouvel accord d’adéquation met vraiment fin à des années d’incertitude juridique affectant les principaux services cloud américains et des dizaines d’autres acteurs numériques.
Cela dit, la grande question pour le DPF est de savoir dans quelle mesure ce troisième accord sur l’adéquation des données entre l’UE et les États-Unis sera durable – et cela reste à voir, bien que l’UE ait pris plus de temps que la dernière fois pour transpirer les détails du nouveau cadre.
Lors de la conférence de presse d’aujourd’hui, Reynders s’est montré beaucoup plus optimiste que d’habitude sur ce sujet, arguant que le cadre n’est pas simplement une copie des mécanismes de transfert antérieurs (échecs) mais « un système très différent » – celui qu’il a suggéré est « une solution très robuste ». à une fracture juridique enracinée.
Il a également suggéré que l’UE a écouté attentivement les commentaires alors qu’elle s’efforçait de finaliser un cadre qui, selon lui, assure « le plein respect des conditions fixées dans la décision de la plus haute juridiction de l’UE ».
« C’était mon mandat et mon objectif dans ces négociations, et cela se reflète dans les solutions que nous avons obtenues », a-t-il suggéré. « Ils répondent spécifiquement aux exigences fixées par la Cour en ce qui concerne la nécessité de limitations et de garanties pour l’accès aux données par les agences de renseignement américaines conformément aux principes de nécessité et de proportionnalité et la nécessité d’assurer un recours effectif aux citoyens de l’UE. »
Néanmoins, des contestations judiciaires du DPF sont en cours. Les deux arrangements précédents (alias Safe Harbor et Privacy Shield) ont été annulés par le plus haut tribunal du bloc après que les juges ont constaté que les données personnelles exportées n’étaient pas protégées selon la norme juridique requise compte tenu des risques posés par les vastes pouvoirs de surveillance américains. Et les militants de la protection de la vie privée préviennent que le nouveau cadre pourrait être devant la CJUE d’ici quelques mois.
Un point clé pour les critiques est que depuis la disparition de Privacy Shield, nous n’avons toujours pas vu de réforme des pouvoirs de surveillance américains, sans que les législateurs n’acceptent la nécessité de réformer la disposition controversée FISA 702 et d’adopter des protections pour les informations des étrangers.
Cela signifie, à la base, que le DPF cache toujours le même conflit juridique fondamental, entre les droits à la vie privée de l’UE et les pouvoirs de surveillance des États-Unis, et pourrait inexorablement faire face à la même évaluation d’insuffisance une fois que les juges de l’UE auront examiné les détails.
Au cours des derniers mois, un certain nombre d’autres institutions de l’UE ont fait part de leurs inquiétudes quant au manque de clarté du remplacement prévu par la Commission, suggérant également que les modifications apportées à l’approche précédente pourraient ne pas fournir l’équivalence essentielle nécessaire en matière de protection des données lorsqu’elles sont au-dessus de l’étang. Bien que des organismes tels que le comité européen de la protection des données aient également reconnu que le DPF va plus loin que les accords de transfert de données antérieurs. La question est de savoir si cela va assez loin pour rencontrer la barre de la CJUE.
La décision de la Commission elle-même ne signifie pas grand-chose puisqu’elle est seule responsable de l’adoption des décisions d’adéquation de l’UE – et Reynders a admis que le feu vert d’aujourd’hui est essentiellement une décision « unilatérale » de l’exécutif de l’UE – donc les législateurs du bloc sont dans la position luxueuse d’arriver à marquer une fois de plus leurs propres devoirs, malgré une histoire d’erreurs dans ces mêmes équations.
Le groupe de campagne de confidentialité noyb – dont le fondateur et président, Max Schrems, était à l’origine de la plainte initiale contre les transferts de données UE-États-Unis de Facebook – reste critique à l’égard du cadre.
Répondant à l’annonce de la décision d’adéquation de la Commission aujourd’hui, noyb a confirmé qu’il déposera une contestation judiciaire — disant il a des « options pour un défi » prêtes à être envoyées aux régulateurs et s’attend à ce que la question soit de retour devant la CJUE d’ici le début de l’année prochaine.
Si le calendrier prévu par le noyb tient, il devrait encore être suivi de mois (voire d’années) de délibération par le tribunal du bloc. Ainsi, un verdict final sur le DPF pourrait prendre des années. (Pour un contexte comparatif, des questions juridiques concernant le prédécesseur du DPF, Privacy Shield, ont été renvoyées au tribunal en Mai 2018 – avec l’arrêt de la CJUE annulant le mécanisme atterrissant en juillet 2020.)
Pour l’instant, Schrems et noyb affirment que le nouveau cadre est en grande partie le même que le bouclier de protection des données qui n’a pas réussi à passer avec les juges de l’UE – rejetant les principaux changements mis en évidence par les équipes européennes et américaines impliquées dans la négociation de l’accord de remplacement, comme les États-Unis apparemment adoptant un principe de droit européen d’utilisation « proportionnée » des données. noyb suggère que cela équivaut à un théâtre de proportionnalité, arguant que les États-Unis n’attribuent pas la même définition au terme que les juges de l’UE comprendraient dans le décret exécutif joint au DPF où les États-Unis promettent désormais que leur surveillance des étrangers sera «proportionnée».
Ils ne sont pas non plus impressionnés par une tentative du DPF de retravailler un autre problème qui a conduit la CJUE à fausser le bouclier de confidentialité – lié à la réparation. Ainsi, en lieu et place du médiateur de ce dernier, le DPF propose un Officier de la protection des libertés et ce qu’on appelle un « Tribunal ». Mais qui, soulignent-ils, n’est pas réellement une cour de justice ; il s’agit plutôt d’un « organe exécutif partiellement indépendant » – résumant ainsi les changements comme des « améliorations mineures ».
« Ils disent que la définition de la folie est de faire la même chose encore et encore et d’attendre un résultat différent. Tout comme ‘Privacy Shield’, le dernier accord n’est pas basé sur des changements matériels mais sur des intérêts politiques », a expliqué Schrems dans un communiqué. « Une fois de plus, la Commission actuelle semble penser que le gâchis sera le problème de la prochaine Commission. La FISA 702 doit être prolongée par les États-Unis cette année, mais avec l’annonce du nouvel accord, l’UE a perdu tout pouvoir pour obtenir une réforme de la FISA 702. »
Anticipant les principales lignes d’attaque, Reynders a pris un certain temps pour aborder les deux domaines dans ses remarques d’aujourd’hui – expliquant pourquoi la Commission pense que cet accord est différent et restera.
« Nous avons apporté des changements importants au cadre juridique américain pour répondre à ces deux ensembles d’exigences », a-t-il suggéré. «Ce nouveau cadre est substantiellement différent du bouclier de protection des données UE-États-Unis à la suite du décret exécutif publié par le président Biden l’année dernière à la suite de nos négociations. Les exigences de nécessité et de proportionnalité sont maintenant clairement énoncées par des garanties contraignantes et exécutoires dans l’ordre juridique américain.
« En pratique, cela signifie que pour décider si et dans quelle mesure les agences de renseignement américaines doivent accéder aux données, elles seront tenues de mettre en balance les mêmes facteurs que ceux requis par la jurisprudence de la Cour de justice de l’UE. Ces facteurs incluent la nature des données, la gravité de la menace ou l’impact probable sur les droits des individus. Sur cette base, chaque agence de renseignement américaine a revu ses règles et procédures internes pour mettre en œuvre ces nouvelles exigences au niveau opérationnel.
Concernant le mécanisme de recours retravaillé, Reynders l’a décrit comme « un tribunal indépendant et impartial habilité à enquêter sur les plaintes déposées par les Européens et à rendre des décisions de recours contraignantes », notant également que l’organe a le pouvoir d’ordonner la suppression des données collectées en violation de les exigences de nécessité ou de proportionnalité.
Il a en outre souligné que la Commission avait prêté attention à l’accessibilité des recours – suggérant que le mécanisme avait été conçu pour être « convivial », et notant qu’il n’y avait pas de frais pour les citoyens de l’UE pour déposer une plainte (ce qu’il a stipulé qu’ils peuvent faire dans leur propre langue via leur autorité locale de protection des données qui transmettra ensuite la plainte aux autorités compétentes pour eux).
« Des conditions d’admissibilité très faibles s’appliqueront », a-t-il souligné. « En particulier, le plaignant n’aura pas à démontrer que ses données ont été consultées par les agences de renseignement américaines. C’est très important et c’est crucial pour garantir un accès effectif à la réparation dans un domaine qui est par nature secret.
« Avant le [tribunal] les intérêts du plaignant seront représentés par un avocat spécial, encore une fois, gratuitement avec les habilitations de sécurité nécessaires. Ces procédures impliquent un certain degré de secret. Avec un avocat spécial, le tribunal ne prendra sa décision qu’après avoir entendu les deux parties. Enfin, le fonctionnement de ce mécanisme de recours, y compris les aspects de procédure régulière et le respect des décisions du nouveau tribunal, sera supervisé par un organe indépendant spécifiquement chargé de la protection des données, le Conseil de surveillance de la vie privée et des libertés civiles.
« Les principes du Data Privacy Framework sont solides et je suis convaincu que nous avons fait des progrès significatifs qui répondent aux exigences de la Cour », a également déclaré Reynders, avant d’adresser une mise en garde aux autorités américaines face à la nécessité pour réellement tenir leurs engagements.
« Dans le même temps, la Commission portera une attention particulière à la mise en œuvre de ce nouveau cadre juridique et n’hésitera pas à réagir en cas de problème ou de problème », a-t-il averti.
Les cyniques pourraient dire que toute la saga de l’adéquation entre l’UE et les États-Unis n’est qu’un moyen pour les législateurs de chaque côté d’un schisme juridique inamovible d’acheter encore quelques années de grâce (et de faire tourner les roues du commerce) en frappant à plusieurs reprises le point d’éclair sur la route – laissant les régulateurs et les tribunaux de l’UE aux prises avec les retombées qui en résultent (et les entreprises confrontées à un autre gâchis juridique coûteux si l’accord finit par être à nouveau annulé).
C’est un point de vue qui donne du crédit lorsque l’on considère comment Meta, qui fait l’objet d’une plainte concernant ses transferts de données entre l’UE et les États-Unis depuis environ une décennie – et a finalement reçu, plus tôt cette année, l’ordre de suspendre les flux de données après que les régulateurs de la confidentialité de l’UE a confirmé la violation des exigences d’exportation de données du bloc – n’a jamais eu à cesser d’expédier les données des Européens malgré les exportations jugées illégales.
En mai, le géant de la technologie s’est vu accorder un délai d’environ six mois pour se conformer à l’ordonnance de suspension des données. Maintenant, quelques semaines après cette ordonnance, nous avons un mécanisme de transfert de haut niveau fraîchement ratifié pour que l’entreprise s’y accroche – ce qui signifie qu’elle peut simplement ignorer l’ordonnance de suspension encore humide en changeant sa base juridique revendiquée pour les exportations de données vers le DPF et éviter d’avoir à suspendre tout flux de données, en évitant essentiellement une application stricte (bien qu’avec une facture d’environ 1,3 milliard de dollars à payer).
Cette danse apparemment sans fin – que noyb appelle un «ping-pong juridique» frustrant – illustre à quel point il est difficile pour les citoyens de l’UE d’exercer les droits à la vie privée que la loi prétend exister pour protéger leurs informations, même si les géants de la technologie avec des modèles commerciaux lucratifs d’exploration de données obtiennent de continuer à bafouer les droits des gens comme d’habitude, tant qu’ils font suffisamment de profit pour pouvoir déduire tout paiement d’astreinte comme coût de faire des affaires.
Toujours, Reynders a également mis en garde les géants américains de la technologie aujourd’hui – notant: «Il appartiendra aux entreprises de montrer qu’elles sont en pleine conformité avec le RGPD. [General Data Protection Regulation].”
Et sur ce front, Meta, au moins, a de plus en plus mal à la tête, car les régulateurs de l’UE – et, plus récemment, la CJUE – ont mis en doute la base juridique qu’elle revendique pour le traitement des données des personnes à des fins de ciblage publicitaire. Ainsi, même si le géant de l’adtech ne sera plus contraint de couper tous ses flux de données entre l’UE et les États-Unis semblent désormais inévitables.