La Commission européenne a lancé mardi 13 décembre le processus formel d’adoption d’une décision d’adéquation sur le cadre UE-États-Unis sur la protection des données. Mais la troisième tentative visant à soutenir les transferts de données transatlantiques est vouée à faire face à davantage de défis juridiques.
Le projet de décision fait suite à la signature du décret exécutif par le président américain Joe Biden en octobre visant à introduire des garanties pour les données personnelles des résidents de l’UE, notamment en limitant l’accès des agences de renseignement américaines et en introduisant un mécanisme de recours indépendant.
L’accès disproportionné des services de sécurité américains aux données de masse européennes, révélé pour la première fois par Edward Snowden en 2013, a été l’une des raisons cruciales pour lesquelles le transfert de données personnelles à travers l’Atlantique a été jugé illégal par la Cour de justice de l’UE à deux reprises dans les arrêts Schrems. .
En particulier, la plus haute juridiction de l’UE a estimé que la juridiction américaine n’offrait pas une protection adéquate des données personnelles. Dans le même temps, le système juridique américain n’autorisait pas les contestations judiciaires telles que les actes répréhensibles en matière de traitement de données devant les tribunaux, alors que la réparation judiciaire est un principe fondamental de l’UE.
Par conséquent, depuis l’arrêt Schrems II en juillet 2020, la Commission européenne et l’administration américaine se sont efforcées de créer un nouveau cadre juridique qui éviterait l’incertitude juridique pour les centaines d’entreprises opérant dans le commerce transatlantique d’une valeur de plusieurs milliards de dollars.
« Au cours des derniers mois, nous avons évalué le cadre juridique américain fourni par l’Executive Order en matière de protection des données personnelles. Nous sommes maintenant confiants de passer à la prochaine étape de la procédure d’adoption », a déclaré le commissaire européen à la justice Didier Reynders dans un communiqué.
Processus d’adéquation des données
La Commission considère que le nouveau cadre juridique basé sur le décret exécutif est comparable aux normes européennes de protection des données, ce qui signifie que les données personnelles des résidents de l’UE peuvent être transférées en toute sécurité et légalement de l’autre côté de l’Atlantique.
La publication du projet de décision n’est que la première étape formelle du processus d’approbation automatique d’une juridiction étrangère comme ayant un niveau adéquat de protection des données. La prochaine étape consistera pour le comité européen de la protection des données, qui rassemble toutes les autorités de protection des données de l’UE, à rendre un avis.
La décision devra ensuite être approuvée par un comité formé de représentants nationaux des États membres avant l’adoption formelle, que la Commission espère atteindre d’ici l’été 2023.
Entre-temps, le Parlement et le Conseil de l’UE pourraient contester la décision s’ils estimaient que la Commission avait outrepassé ses pouvoirs.
Si elle est confirmée, la décision relative à l’adéquation des données sera régulièrement réexaminée pour s’assurer que les éléments pertinents du cadre juridique américain ont été pleinement mis en œuvre et fonctionnent efficacement dans la pratique. Les réexamens débuteront un an après l’adoption de la décision.
Défis juridiques
Le décret exécutif a été anticipé par un accord « de principe » annoncé par le président américain Biden et la présidente de la Commission européenne Ursula von der Leyen en mars. Depuis lors, les deux dirigeants ont tenté de trouver un arrangement technique qui tiendrait devant les tribunaux.
« Comme le projet de décision est basé sur le décret exécutif connu, je ne vois pas comment cela survivrait à une contestation devant la Cour de justice. Il semble que la Commission européenne rende des décisions similaires encore et encore, ce qui constitue une violation flagrante de nos droits fondamentaux », a déclaré Max Schrems, l’avocat autrichien qui a donné le nom aux deux décisions historiques.
Lorsque le décret exécutif est sorti, Schrems a souligné plusieurs points critiques, à commencer par le fait que l’administration américaine a accepté de limiter les activités de surveillance de ses services de renseignement à ce qui est « nécessaire » et « proportionné », deux concepts fondamentaux du droit de l’UE.
Cependant, l’activiste autrichien a fait valoir qu’il y a peu d’indications que la surveillance de masse américaine changera dans la pratique puisque les systèmes et pratiques juridiques américains et européens divergent considérablement dans ce qu’ils définissent comme nécessité et proportionnalité.
En ce qui concerne les recours juridiques, Schrems a également demandé si la Cour de révision de la protection des données établie par le décret est un véritable tribunal puisqu’elle fera partie de l’exécutif américain. Selon lui, cet arrangement est une version améliorée du médiateur que la Cour suprême de l’UE a précédemment rejetée.
Essayez avant de mépriser
« Je suis sûr que nous aurons une nouvelle discussion devant la Cour de justice. Le traitement des données personnelles fait partie du modèle économique de nombreuses entreprises Big Tech. Mais aller devant la Cour de justice fait peut-être partie du modèle économique de M. Schrems », a déclaré le commissaire Reynders à EURACTIV la semaine dernière.
Reynders a insisté sur le fait qu’il était convaincu que le nouvel arrangement juridique était véritablement robuste et a invité les sceptiques à tester le mécanisme de recours en contestant certaines décisions des agences de renseignement américaines avant d’essayer d’abattre l’ensemble du système.
[Edited by Alice Taylor]