Ce nouveau cadre sur le transfert des données vers les Etats-Unis a été adopté lundi 10 juillet par la Commission européenne. Il remplace le Privacy Shield, invalidé en 2020 par la Cour de justice de l'Union européenne.
En mars 2022, la présidente de la Commission européenne, Ursula von der Leyen et l’administration Biden avaient annoncé être parvenus à un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Moins d’un an et demi plus tard, Bruxelles a adopté un nouveau cadre de protection des données de l’Union européenne concernant leur transfert vers les Etats-Unis. « La décision conclut que les États-Unis garantissent un niveau de protection adéquat – comparable à celui de l'Union européenne – pour les données à caractère personnel transférées de l'UE vers des entreprises américaines au titre du nouveau cadre. », a écrit l’exécutif européen dans un communiqué.
Des recours pour les citoyens européens
Les précédents dispositifs, le Safe Harbour et le Privacy Shield avaient été invalidés suite à des décisions de justice, par crainte de voir des données tomber entre les mains des services de renseignement américains.
Ce cadre inclut de nouvelles mesures contraignantes et limite par exemple « l'accès des services de renseignement américains aux données de l'UE à ce qui est nécessaire et proportionné ». Une Cour chargée du contrôle de la protection des données, la Data Protection Review Court – DPRC pourra être saisie par les citoyens européens.
« Les citoyens de l'UE auront accès à un mécanisme de recours indépendant et impartial en ce qui concerne la collecte et l'utilisation de leurs données par les services de renseignement américains, qui comprend une Cour d'examen de la protection des données (Data Protection Review Court - DPRC) nouvellement créée ». Les citoyens européens pourront également bénéficier de mécanismes indépendants de règlement des litiges et d’arbitrage en cas de traitement « incorrect » de leurs données personnelles par des organisations américaines.
Si la Cour venait à constater des violations dans la collecte des données personnelles, elle pourra ordonner à ce qu'elles soient supprimées. Chose que ne permettait pas le bouclier de protection des données. Les entreprises américaines doivent désormais adhérer au cadre de protection des données et devront s’engager à supprimer les données à caractère personnel lorsqu'elles ne sont plus utiles « à la finalité pour laquelle elles ont été collectées », et devront assurer la continuité de la protection lorsque les données seront partagées avec d’autres organisation.
Un premier examen du fonctionnement du nouveau cadre sera effectué un an après son entrée en vigueur. « afin de vérifier que tous les éléments pertinents ont été pleinement mis en œuvre dans le cadre juridique américain et fonctionnent efficacement dans la pratique. », a prévenu la Commission.
Max Schrems repart à l’attaque
Les précédents recours devant la Cour de Justice de l’UE qui avaient mené à la suspension des dispositifs antérieurs avaient été déposés par le militant autrichien Max Schrems qui a annoncé, lundi 10 juillet, qu’il allait de nouveau saisir la justice.
« Nous avons déjà dans les tiroirs des options pour un nouveau recours, bien que nous soyons fatigués de ce jeu de ping-pong juridique. Nous nous attendons à ce que l'affaire soit de nouveau devant la Cour de justice au début de l'année prochaine », a-t-il déclaré dans un communiqué publié par l’association NOYB. Le militant estime que le nouveau cadre ne fournit pas les garanties suffisantes en matière de protection des données personnelles des européens. L’association NOYB voit dans ce nouveau cadre un PrivacyShield nouvelle formule qui ne traite pas le « problème fondamental » de l'article 702 du Foreign Intelligence Surveillance Act qui considère que « seuls les ressortissants américains peuvent bénéficier de droits constitutionnels ».