© Shutterstock
© Shutterstock

La Commission européenne a lancé le processus visant à adopter une « décision d'adéquation » qui facilitera la circulation et la sécurisation des données circulant entre le Vieux Continent et les États-Unis.

Bien décidée à répondre aux préoccupations soulevées par l'arrêt Schrems II (juillet 2020) de la Cour de justice de l'Union européenne, Bruxelles a fait un nouveau pas majeur, mardi 13 décembre, vers l'adoption d'un cadre de protection des flux de données transatlantiques. Celui-ci devra garantir une sécurisation certaine des informations à caractère personnel transférées de l'UE vers les États-Unis. Le processus lancé par l'Europe fait suite au décret exécutif signé par le président Biden le 7 octobre dernier.

Une décision « d'adéquation » ?

Après avoir invalidé en 2020 le bouclier de protection des données UE-USA, la Commission européenne et le gouvernement américain ont entamé des discussions pour dessiner un nouveau cadre. En mars dernier, les deux blocs avaient annoncé un accord de principe sur un nouveau cadre de transfert transatlantique des données.

En octobre 2022, nous le disions, Joe Biden a signé un décret présidentiel, depuis complété par des règlements adoptés par le procureur général des États-Unis. Les deux instruments, une fois rassemblés, ont été ajoutés au droit américain. Ils font peser de nouvelles obligations sur les entreprises américaines.

La Commission, et c'est l'étape suivante, propose donc une « décision d'adéquation ». De quoi s'agit-il ? Cet outil est en réalité prévu par le RGPD, pour justement transférer des données personnelles de l'UE vers des pays tiers, à condition que ces pays (ici les États-Unis) offrent le niveau de protection requis. Il doit d'ailleurs être comparable à celui de l'Union européenne. Parmi les obligations que les entités américaines devront respecter, Bruxelles évoque celle qui consiste à supprimer les données personnelles lorsqu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées. La Commission évoque aussi une continuité de la protection dès lors que les données sont partagées avec des tiers.

Les citoyens européens auront plusieurs voies de recours face aux États-Unis

Notons que les citoyens de l'UE disposeront de plusieurs voies de recours s'ils apprennent que leurs données personnelles ont été traitées en violation de ce futur cadre. Ils auront ainsi accès, et ce, gratuitement, à des mécanismes indépendants de règlement de litiges ainsi qu'à un groupe spécial d'arbitrage. C'est une vraie différence, comparé à l'historique Privacy Shield. Et si les Européens ne sont pas satisfaits de cette plainte de premier niveau, ils pourront faire appel auprès de la Cour de révision de la protection des données. Cette autorité, forte de ses membres indépendants du gouvernement des États-Unis, examinera et tranchera les plaintes des citoyens de l'UE. Bien que située sur le sol américain, elle disposera du pouvoir d'adopter des mesures correctives et contraignantes. La Commission est aujourd'hui en mesure de garantir sa réelle indépendance.

Les États-Unis ont aussi fixé des limites sur l'accès de leurs pouvoirs publics aux données des Européens. Les principes de nécessité et de proportionnalité devront être respectés, malgré l'évidente question de la protection de la sécurité nationale qui peut justifier un accès. C'était l'un des points fondamentaux des discussions entre l'Europe et les États-Unis.

Une fois la décision définitivement adoptée, les entreprises et autres entités européennes pourront transférer les données personnelles des utilisateurs vers les entreprises (participantes) américaines sans avoir à faire valoir des garanties supplémentaires sur la protection de ces informations. En d'autres termes, le transfert vers les États-Unis sera traité de la même manière qu'une transmission de données intra-UE. Mais il faudra que le Comité européen de la protection des données (CEPD) approuve la démarche avant que la Commission adopte la décision d'adéquation finale.