Le président des États-Unis, Joe Biden, a signé un décret exécutif pour un nouveau cadre de transfert de données UE-États-Unis qui introduira des garanties pour l’accès des services de renseignement américains aux données personnelles européennes, surmontant l’obstacle qui a fait échouer le mécanisme en 2020.
Le décret exécutif est le résultat de longues négociations entre l’administration américaine et la Commission européenne, qui ont été certifiées dans un accord politique de principe annoncé en mars par Biden et la présidente de la Commission Ursula von der Leyen.
Les négociations ont été rendues nécessaires par le fait qu’en juillet 2020, la Cour de justice de l’UE a invalidé pour la deuxième fois le cadre juridique du transfert de données personnelles outre-Atlantique dans l’arrêt historique Schrems II.
« Le cadre de confidentialité des données UE-États-Unis fournira une base juridique durable et fiable et une certitude pour les flux de données transatlantiques et créera de plus grandes opportunités économiques pour les entreprises et les citoyens des deux côtés de l’Atlantique », a déclaré la secrétaire américaine au Commerce, Gina Raimondo.
Schrem II
Dans l’arrêt Schrems II, la plus haute juridiction de l’UE a conclu que la juridiction américaine n’offrait pas un niveau adéquat de protection personnelle. La raison en est que les services de renseignement américains collectent sans discernement des données en masse, comme l’a révélé Edward Snowden en 2013.
De plus, le système juridique américain ne prévoyait pas de recours juridique pour les résidents de l’UE qui souhaitaient contester le traitement de leurs données personnelles, ce qui est illégal en vertu du règlement général sur la protection des données de l’UE. La réparation judiciaire est un principe fondamental du droit de l’UE.
Selon un haut responsable américain, l’administration est « confiante » que le nouveau cadre de protection des données résistera à la contestation judiciaire probable devant la Cour de justice de l’UE puisque les deux principales questions soulevées lors de l’arrêt Schrems II – la proportionnalité et la réparation – ont été résolues .
Le verdict Schrems II a jeté l’incertitude sur les transferts de données transatlantiques, une dimension critique du commerce international. Les relations économiques entre l’UE et les États-Unis sont estimées à 7 100 milliards de dollars.
Décret exécutif
Le décret présidentiel stipule que les activités de collecte de données des services de renseignement américains ne peuvent avoir lieu que par rapport à des objectifs de sécurité nationale bien définis pour faire avancer une priorité de renseignement validée et doivent être menées de manière proportionnée et en tenant compte de la vie privée et des libertés civiles des personnes.
Des garanties supplémentaires ont été ajoutées dans le traitement des informations personnelles pour étendre la surveillance légale des responsables de la conformité qui seraient chargés de s’assurer que des recours appropriés sont en place pour remédier à la non-conformité.
Ces garanties impliquent des changements significatifs dans le fonctionnement de la communauté du renseignement américain. Parallèlement au décret, l’administration américaine a transmis à la Commission européenne une série de lettres des agences gouvernementales concernées décrivant les ajustements internes qu’elles mettront en place pour appliquer le nouveau régime de partage des données.
Garanties à deux couches
Pour l’administration américaine, ces garde-fous seront garantis par un mécanisme à deux niveaux.
Premièrement, un agent de protection des libertés civiles (CLPO) sera mis en place au sein du bureau du directeur du renseignement national et sera chargé de mener des enquêtes initiales pour vérifier les plaintes concernant la violation du décret exécutif. La décision du CLPO serait contraignante pour les agences de renseignement.
Deuxièmement, l’équivalent américain d’un ministère européen de la justice, le procureur général établira une cour de révision de la protection des données qui assurera un examen indépendant et contraignant des décisions du CLPO, notamment en ordonnant des recours à la communauté du renseignement.
Les juges de ce tribunal seront recrutés en dehors de l’administration américaine et seront garantis en termes d’indépendance et de protection contre l’éloignement. Le tribunal doit également nommer un avocat spécial qui fournirait des conseils juridiques sur les affaires ouvertes.
Par ailleurs, le Privacy and Civil Liberties Oversight Board, une agence américaine, examinera annuellement le processus de recours et évaluera la conformité des services de renseignement avec les décisions du CLPO et du tribunal de la protection des données.
Dans le cadre annulé du bouclier de protection des données UE-États-Unis, le mécanisme de recours consistait à désigner un médiateur au sein du département d’État, le ministère américain des affaires étrangères, chargé de résoudre les plaintes. Pour le haut responsable de l’administration américaine, le nouveau cadre serait beaucoup plus solide puisqu’il y aurait un tribunal judiciaire indépendant pour faire respecter les garanties.
Premières réactions
Max Schrems, le défenseur de la vie privée qui a initié les affaires judiciaires homonymes, a contesté le décret exécutif en faisant valoir qu’il est peu probable qu’il change la façon dont les agences de renseignement américaines fonctionnent via la surveillance de masse puisque le principe de proportionnalité n’est pas destiné de la même manière à travers l’étang.
« L’UE et les États-Unis sont maintenant d’accord sur l’utilisation du mot « proportionné », mais semblent être en désaccord sur sa signification. En fin de compte, la définition de la CJUE prévaudra – tuant probablement à nouveau toute décision de l’UE. La Commission européenne ferme à nouveau les yeux sur la législation américaine, pour permettre de continuer à espionner les Européens », a déclaré Schrems dans un communiqué.
Deuxièmement, l’avocat autrichien conteste le statut de la Cour de révision de la protection des données en tant que tribunal indépendant puisqu’il s’agira d’un organe relevant de la branche exécutive du gouvernement américain, manquant ainsi la qualification de recours judiciaire prévue par la Charte des droits fondamentaux de l’UE.
« A première vue, il semble que les problèmes fondamentaux n’aient pas été résolus, et cela reviendra tôt ou tard à la CJUE », a ajouté Schrems.
[Edited by Alice Taylor]