Joe Biden a signé aujourd’hui un décret visant à fournir des gages aux Européens pour le transfert de leurs données personnelles de l’Union européenne vers les États-Unis dans un nouveau cadre légal, crucial pour l’économie numérique.
Un décret pour le transfert des données entre UE et USA
Le commissaire européen à la Justice Didier Reynders a salué une « étape très importante », ouvrant la voie à une procédure côté UE qui pourrait se conclure au printemps prochain. Celui qui a mené pendant un an et demi des négociations avec Washington s’est félicité des nouvelles garanties américaines prévues pour la protection de la vie privée.
Le secteur de la tech s’est aussi réjoui de cette mesure. Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer des données de ressortissants européens vers les États-Unis pour y être traitées ou hébergées avaient été invalidés par la justice européenne en raison de craintes concernant les programmes de surveillance américains. En mars, Joe Biden et la présidente de la Commission européenne Ursula von der Leyen avaient annoncé avoir trouvé un accord de principe sur ce nouveau cadre.
Des garde-fous en place
Le texte prévoit des garde-fous supplémentaires pour que l’accès par les agences de renseignement américaines, au nom de la sécurité nationale, à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, soit limité à ce qui est nécessaire et proportionné. Il ouvre surtout la possibilité aux ressortissants européens d’agir s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains et d’en obtenir le cas échéant la suppression ou la correction.
Deux niveaux de recours sont prévus. L’un auprès d’un officier chargé de la protection des libertés civiles à la direction du renseignement américain. En cas de contestation de cette décision de première instance, il est possible de saisir un tribunal indépendant, formé par le ministère de la Justice.
Côté UE, la décision d’adéquation qui encadrera ces transferts nécessitera notamment un avis du gendarme européen de la protection des données et l’aval des États membres.
En juillet 2020, la Cour avait estimé que le Privacy Shield, utilisé par 5 000 entreprises américaines, dont Google ou Amazon, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ». L’affaire avait été lancée par une plainte contre Facebook de Max Schrems, déjà à l’origine de l’arrêt de 2015 sur l’ancêtre du Privacy Shield, à savoir le Safe Harbor.
