Le privacy Shield 2.0 en bonne voie … mais déjà dans le viseur de Max Schrems

Ce vendredi 25 mars, la Présidente de la Commission Européenne Ursula von der Leyen et le Président des Etats-Unis Joe Biden ont annoncé avoir trouvé un accord de principe concernant les transferts de données transatlantiques, soit presque deux ans après son annulation par la Cour de Justice de l’Union Européenne. La Présidente de la Commission a en effet, déclaré que «  Nous avons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Cela permettra des flux de données prévisibles et dignes de confiance entre l’UE et les États-Unis, tout en préservant la vie privée et les libertés civiles. »

Alors même que la substance de cet accord n’est pas encore connue, l’association NOYB présidée par Max Schrems – qui a donné son nom à l’arrêt ayant annulé le Privacy Shield en 2020 – l’a d’ores et déjà dans son collimateur. Max Schrems n’est en effet pas particulièrement enjoué par cette annonce, estimant que « nous avons déjà eu un accord purement politique en 2015 qui n’avait aucune base juridique. D’après ce que vous entendez, nous pourrions jouer le même jeu une troisième fois maintenant. L’accord était apparemment un symbole voulu par Mme von der Leyen, mais il ne bénéficie pas du soutien des experts à Bruxelles, car les États-Unis n’ont pas bougé » . Il ajoute par ailleurs qu’il est « regrettable que l’UE et les États-Unis n’aient pas profité de cette situation pour parvenir à un accord de « non-espionnage » , avec des garanties de base entre démocraties partageant les mêmes idées. Les clients et les entreprises sont confrontés à de nouvelles années d’incertitude juridique » .

L’APD norvégienne partage ces préoccupations, et va même plus loin en annonçant qu’ iI est possible que le nouveau cadre soit également contesté devant la Cour européenne de justice. Cependant, une fois le cadre adopté et opérationnel, il sera valable jusqu’à ce qu’il soit finalement annulé par la Cour de justice européenne » . Peut-être anticipe-t-elle déjà le probable futur recours de NOYB.

Un nouvel accord prenant en compte les reproches de la CJUE


Et pourtant ! Malgré les inquiétudes fondées de Max Schrems, il nous faut constater que les reproches formulés par la Cour de Justice de l’UE en 2020 contre le « Privacy Shield » ont été entendus. Mieux encore, la volonté politique est de trouver un accord qui n’aura pas les mêmes défauts. En effet, la Maison Blanche a annoncé que « les États-Unis se sont engagés à implémenter de nouveaux garde-fous pour assurer que les activités de renseignement sont les seules nécessaires et proportionnées à la poursuite d’objectifs de sécurité nationale définis, ce qui permettra de garantir la confidentialité des données à caractère personnel des résidents de l’Union Européenne ». Par ailleurs, a été annoncée la création « d’un nouveau mécanisme permettant aux citoyens de l’UE de demander réparation s’ils estiment être illégalement ciblés par les activités de renseignement électromagnétique ».

Quelques exemples ont même été fournis :

  • La collecte de données de renseignement ne peut être réalisée que si cela est nécessaire pour préserver la sécurité nationale, et ne doit pas atteindre de manière disproportionnée la protection de la vie privée et les libertés civiles des personnes ;
  • Les résidents de l’Union Européenne bénéficieront d’un mécanisme de recours à plusieurs niveau afin de pouvoir demander réparation. Cela comprendrait un tribunal indépendant qui serait composé de personnes choisies en dehors du gouvernement américain qui auraient pleine autorité pour statuer sur les réclamations et orienter les mesures correctives si nécessaire
  • Les services de renseignement états-uniens vont adopter des procédures pour assurer le respect des nouvelles normes en matière de vie privée et de libertés civiles.


En réalité, les inquiétudes de Max Schrems de ne sont pas infondées : cet accord semble presque trop beau pour être vrai, alors même que deux Sénateurs états-uniens dénonçaient encore en février les collectes de massives, par la CIA, des données des citoyens américains, en l’absence de presque tout garde-fou.

Et en pratique, comment est-ce que ça va se passer ?


En pratique, ce n’est pas cet accord qui va permettre la transfert de données transatlantiques. En effet, tout transfert de données personnelles hors Union Européenne (et Zone EEE) doit obligatoirement être fondé sur une décision d’adéquation (ou, à défaut, sur d’autres outils). Or, une décision d’adéquation est donnée uniquement si le cadre juridique du pays concerné est jugé comme conférant un niveau de protection équivalent au droit de l’Union.
En conséquence, ce n’est pas cet accord qui peut débloquer la situation, mais bien l’ordre exécutif (Executive Order) à venir, et qui devra notamment donner une « vie juridique » aux différents engagements pris pas les États-Unis. Dans la mesure où les équipes américaines et de la Commission européenne travaillent ensemble sur ce projet, il est improbable que la décision future de la Commission soit défavorable. Il reste cependant à voir ce que tout ceci va donner en pratique ! Il nous faudra sans doute attendre quelques mois avant que les premiers jets ne sortent.

Retour en haut