La Commission européenne et les États-Unis sont parvenus à un accord de principe autour des flux de données transatlantiques. Les deux blocs ont chacun fait des concessions.
D'une certaine manière, nous pourrions presque dire que oui, le « Privacy Shield » est relancé. Ce mécanisme, invalidé par la Cour de justice de l'Union européenne en 2020 et le fameux arrêt Schrems II, voulait que l'on puisse transférer des données personnelles vers les États-Unis sans restrictions particulières. Depuis, des mesures supplémentaires ont été déployées, et les clauses contractuelles types ont été renforcées, avec le RGPD au milieu de tout ça. En somme : oui, les responsables de traitement et les sous-traitants peuvent transférer des données hors de l'UE, mais à condition d'assurer un niveau de protection des données suffisant et approprié. Une obligation qui chagrine des géants comme Facebook (Meta) depuis de nombreux mois. Il y a quelques jours, Européens et Américains ont trouvé un terrain d'entente.
L'UE et les USA posent les limites du transfert et de la surveillance des données
Du côté de la Commission européenne, on évoque un « changement sans précédent de la part des États-Unis », dans la mise en œuvre des réformes qui renforceront les protections de la vie privée et des libertés civiles. Le nouveau cadre transatlantique de confidentialité des données impose désormais aux États-Unis de mettre en place des garanties de façon à ce que les activités de surveillance des signaux soient proportionnées et nécessaires face aux enjeux de sécurité nationale évoqués outre-Atlantique.
Un mécanisme de recours indépendant à deux niveaux sera instauré. Il sera doté d'un pouvoir contraignant, permettant de fixer les bonnes limites entre la nécessité de consulter certaines données personnelles et les activités de surveillance.
« Je suis ravie que nous ayons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Cela permettra des flux de données prévisibles et fiables entre l'UE et les États-Unis, en protégeant la vie privée et les libertés civiles », a déclaré la présidente de la Commission européenne, Ursula von der Leyen, face au président américain Joe Biden, de passage sur le Vieux Continent la semaine dernière.
Biden, lui, a justement déclaré que ce nouveau cadre permettrait à l'Union européenne d'autoriser à nouveau les transferts de données transatlantiques, qui selon lui facilitent la transaction de milliards de dollars de relations économiques. Pour sa part, Google salue « les efforts entrepris par la Commission européenne et le gouvernement américain ».
Après le DMA, l'UE relâche un peu la pression sur les acteurs américains
Ce nouveau cadre US-UE sur les transferts de données transatlantiques est en tout cas le fruit de négociations qui auront duré plus d'un an entre les États-Unis d'un côté et l'Union européenne de l'autre. L'idée, sur le long terme, est de fournir une base durable pour les flux de données transatlantiques, pour protéger les données et droits des citoyens mais aussi ceux des entreprises.
« En faisant progresser les flux de données transfrontaliers, le nouveau cadre favorisera une économie numérique inclusive à laquelle tout le monde peut participer et dans laquelle les entreprises de toutes tailles de tous nos pays peuvent prospérer », explique Bruxelles.
Si l'UE a obtenu certaines garanties, c'est aussi au prix d'une baisse de la pression qui pèse sur les acteurs américains, dans un contexte où le Digital Markets Act promet de faire basculer l'UE dans une nouvelle ère réglementaire sur la concurrence entre les grandes entreprises numériques.
La coopération entre les États-Unis et l'Union européenne devrait se poursuivre dans les prochains mois, afin que cet accord de principe aboutisse à un accord juridique clair qui devra être adopté des deux côtés, pour ensuite mettre en place, enfin, ce nouveau cadre transatlantique de confidentialité des données.
Source : Commission européenne, Politico