L’accord sur les données avec les États-Unis menace d’échouer – car un plaignant autrichien est susceptible de retourner devant les tribunaux

Schrems, président de l’organisation internationale de protection des données Noyb, a intenté à deux reprises des poursuites judiciaires qui ont détruit la base du trafic de données et tentera probablement à nouveau. « Je suppose à 95% que nous poursuivrons également contre la nouvelle décision », a-t-il déclaré.

Six entreprises sur dix en Allemagne utilisent des transferts de données internationaux

Une base juridiquement sûre pour le transfert de données vers les États-Unis serait extrêmement importante pour les entreprises. En juillet 2020, la Cour européenne de justice (CJE) a ​​annulé l’accord de l’époque (« Privacy Shield ») entre les États-Unis et l’UE en raison de lacunes en matière de protection des données. Surtout, les juges ont critiqué les larges possibilités d’accès des services secrets américains.

>> Lire aussi : Les patrons de Dax « très préoccupés » par les risques liés au cloud américain – les partis aux feux tricolores veulent une base juridique sécurisée

Le « Privacy Shield » a vu le jour en 2016 – après que la précédente réglementation « Safe Harbor » ait également été annulée par la CJE.

À la suite de l’arrêt de la CJUE, d’importants fournisseurs de cloud américains tels qu’Amazon, Microsoft et Google n’ont pas de base juridique pour leurs services en Europe. Vous enfreignez ainsi le Règlement général européen sur la protection des données (RGPD). Des amendes allant jusqu’à 20 millions d’euros sont possibles contre les entreprises qui utilisent les services.

Beaucoup de gens acceptent le risque – inévitablement. Parce que les transferts de données sont « une partie essentielle de toute l’économie et aussi de la science », explique Susanne Dehmel de l’association informatique Bitkom. « L’entrave ou même l’empêchement des transferts de données est au moins aussi grave pour les entreprises allemandes et européennes que l’interruption des chaînes d’approvisionnement. »

Selon une étude actuelle de Bitkom, six entreprises sur dix en Allemagne (60 %) transfèrent des données personnelles vers des pays hors de l’UE.

Afin de sortir de ce dilemme juridique, la Commission européenne a proposé à la mi-décembre que la protection des données aux États-Unis soit reconnue comme équivalente à celle en Europe. On parle d’une « décision d’opportunité ». Plusieurs organismes doivent encore le confirmer.

Le président américain Joe Biden avait précédemment décrété que les services secrets américains limiteraient leur accès aux données européennes à ce qui est nécessaire et proportionné pour protéger la sécurité nationale. Un bureau des plaintes a également été créé pour fonctionner comme un tribunal. La Commission européenne parle d' »améliorations significatives » par rapport à l’accord de protection des données « Privacy Shield ».

Schrems accuse la Commission européenne de « tentatives d’embellissement ».

L’avocat autrichien Schrems ne peut pas le confirmer après son analyse. « Jusqu’à présent, nous n’avons rien trouvé dans les décisions américaines ou dans la proposition de la Commission européenne qui sécuriserait légalement le flux de données entre l’UE et les États-Unis », a-t-il déclaré au Handelsblatt. « Ce sont des tentatives d’embellissement, rien de plus. »

Le défenseur de la vie privée Brink le voit de la même manière. Il ne suppose pas que le règlement («Executive Order») présenté par Biden résistera aux exigences strictes de la CJCE. On peut se demander dans quelle mesure un décret peut même être un instrument efficace pour mettre en œuvre les exigences du RGPD. « Il représente une instruction interne au gouvernement et aux autorités subordonnées et n’est pas une loi votée par le parlement et est donc définitive. » Le respect d’un décret n’est pas juridiquement exécutoire, en particulier pour les citoyens de l’UE.

En outre, la relation entre le décret exécutif et d’autres lois américaines existantes telles que le « Cloud Act » n’est pas claire. La loi oblige les entreprises américaines à transmettre les données clients stockées aux autorités chargées de l’application de la loi aux États-Unis, par exemple en cas de suspicion de terrorisme. Brink a déclaré que les restrictions sur le traitement des données que Biden a maintenant promises dans certains cas ne sont pas très convaincantes.

Parce que les interprétations de ce qui est proportionné à cet égard et de ce qui ne l’est pas sont différentes en Europe et aux États-Unis. On ne sait donc pas quand, du point de vue des États-Unis, l’accès aux données à des fins de sécurité nationale restera autorisé.

>> Lire aussi : Les entreprises allemandes dans le piège de la protection des données – les autorités intensifient leurs enquêtes sur l’utilisation du cloud américain

Une innovation majeure que Biden propose aux Européens est la création d’un tribunal indépendant vers lequel les citoyens de l’UE qui estiment que leurs droits civils ont été violés par les services de renseignement américains peuvent se tourner. Ce tribunal, le Data Protection Review Court, est conçu pour rendre des jugements contraignants et contraindre les agences de renseignement à arrêter certaines activités d’espionnage. Cela devrait donner aux Européens la possibilité d’intenter des poursuites aux États-Unis.

Délégué à la protection des données Brink : le changement de système demandé par la CJUE n’a pas lieu

Ici aussi, Brink a exprimé des doutes. « Cette Cour de révision de la protection des données sera mise en place au sein de son département selon l’arrêté du ministre de la justice », a précisé le délégué à la protection des données. « Il est susceptible d’être affecté à l’exécutif, ce qui contredit son indépendance. »

La Cour européenne de justice a non seulement exigé des recours juridiques contre l’espionnage d’État, mais également la fin de la surveillance sans motif. « Mais cela ne peut pas être supposé pour le moment », déclare Brink. Le « changement de système » exigé par la CJCE n’aura donc pas lieu ».

>> Lire aussi : Ce sont les plus gros désagréments en matière de protection des données pour les entreprises

Schrems avertit l’UE d’un nouvel échec. La CJCE a déjà renversé la base juridique du transfert de données à deux reprises. « Maintenant, la Commission prend à nouveau la même décision », a-t-il déclaré. C’est juridiquement et politiquement problématique : « La Commission européenne dénonce les lacunes constitutionnelles en Hongrie et en Pologne, mais ferme les yeux sur les États-Unis.

La Commission européenne ne souhaite pas commenter directement les critiques. Cependant, un porte-parole a déclaré qu’ils étaient convaincus que les points auxquels la CJCE s’était opposée avaient maintenant été résolus. Il existe désormais des mesures de sécurité strictes et des restrictions d’accès pour les services secrets américains.

Les sociétés Internet américaines concernées font donc pression pour un nouvel accord UE-États-Unis le plus rapidement possible. « Nous appelons les États membres de l’UE à approuver immédiatement la décision d’adéquation et à rétablir la sécurité juridique pour les entreprises des deux côtés de l’Atlantique », a déclaré Alexandre Roure de l’association CCIA, qui représente les intérêts d’entreprises telles qu’Amazon, Google et d’autres. les fournisseurs de cloud des États-Unis représentent. Le gouvernement américain a pris des mesures historiques.

Suite: Des frontières plus strictes pour les agences de renseignement américaines : Biden ouvre la voie à un nouvel accord transatlantique sur les données