Plus de six mois aprs un accord de principe entre l’UE et les tats-Unis, le prsident amricain Joe Biden a sign le dcret excutif tant attendu qui vise respecter les arrts passs de la Cour europenne de justice (CJUE). Avec de dcret, Joe Biden voudrait surmonter les limitations des transferts de donnes entre l’UE et les tats-Unis.
Le dcret est donc conu pour codifier les accords que l’UE et l’Amrique ont conclus plus tt cette anne qui rtabliraient le Privacy Shield, bien que la version 2.0 de celui-ci. Il s’agit d’un framework qui dfinit comment, quand et quelles donnes des citoyens sont envoyes l’tranger, entre l’Europe et l’Amrique.
Selon Joe Biden, ce dcret renforce un ensemble dj rigoureux de mesures de protection de la vie prive et des liberts civiles pour les activits de renseignement des tats-Unis. Indirectement, le Prsident amricain voque lapplication de lois amricaines, telles que le Cloud Act, qui permettent aux agences de renseignement de semparer et de consulter les donnes traites ou hberges par toutes les socits amricaines.
Toutefois, selon un dfenseur de la vie prive qui a rejet les rglementations prcdentes devant les tribunaux, ce dcret excutif sign par le prsident Biden pourrait ne pas rpondre aux exigences de l’UE.
Laccord Privacy Shield est venu remplacer laccord Safe Harbor . Ce dernier, qui organisait une partie du transfert des donnes entre lUnion europenne et les tats-Unis, a t annul par la Cour de justice de lUnion europenne le 6 octobre 2015. Aprs cette dcision, la Commission europenne a donc ngoci rapidement un nouvel accord avec les tats-Unis, afin d’assurer la continuit du flux massif de donnes entre les deux continents. Cest ainsi qua t propos le Privacy Shield, qui est entr en vigueur ds le 1er aot 2016.
Puis est venu le rglement gnral relatif la protection des donnes (RGPD) qui dispose que le transfert de telles donnes vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adquat ces donnes. Selon ce rglement, la Commission peut constater quun pays tiers assure, en raison de sa lgislation interne ou de ses engagements internationaux, un niveau de protection adquat. En labsence dune telle dcision dadquation, un tel transfert ne peut tre ralis que si lexportateur des donnes caractre personnel, tabli dans lUnion, prvoit des garanties appropries, pouvant notamment rsulter de clauses types de protection des donnes adoptes par la Commission, et si les personnes concernes disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD tablit, de manire prcise, les conditions dans lesquelles un tel transfert peut avoir lieu en labsence dune dcision dadquation ou de garanties appropries.
Maximillian Schrems, ressortissant autrichien rsidant en Autriche et dfenseur des droits numriques, a lanc une plainte contre Facebook qui a conduit la Cour de Justice de l’Union europenne (CJUE) annuler la validit de Privacy Shield, en partie parce que les citoyens de l’UE n’avaient pas de moyen de s’opposer la collecte de leurs donnes par le gouvernement amricain s’ils estimaient que leurs donnes avaient t collectes de manire inapproprie.
L’ordonnance de Biden vient rsoudre ces problmes en limitant la manire dont les renseignements lectromagntiques peuvent tre recueillis par les agences d’espionnage amricaines et en plaant la collecte d’informations derrire plusieurs couches de conditions, notamment en veillant ce que seules des donnes troitement adaptes soient collectes.
Le nouveau framework met galement en place un tribunal de rvision de la protection des donnes compos d’employs non gouvernementaux pour entendre les cas des citoyens de l’UE, condition que leurs plaintes soient d’abord transmises l’quipe des liberts civiles du bureau du directeur du renseignement national pour examen.
La Maison-Blanche explique que :
Les flux de donnes transatlantiques sont essentiels la relation conomique entre lUE et les tats-Unis, qui reprsente 7 100 milliards de dollars. Le Data Privacy Framework (DPF) UE-tats-Unis rtablira une base juridique importante pour les flux de donnes transatlantiques en rpondant aux proccupations que la Cour de justice de lUnion europenne a souleves en invalidant lancien framework du Privacy Shield UE-tats-Unis en tant que mcanisme de transfert de donnes valide en vertu du droit communautaire.
Le dcret renforce un ventail dj rigoureux de garanties en matire de confidentialit et de liberts civiles pour les activits de renseignement lectromagntique des tats-Unis. Il cre galement un mcanisme indpendant et contraignant permettant aux individus des tats ligibles et des organisations d’intgration conomique rgionale, tels que dsigns dans le cadre de l’E.O., de demander rparation s’ils pensent que leurs donnes personnelles ont t collectes par le biais du renseignement lectromagntique amricain d’une manire qui viole la loi amricaine applicable.
Les grandes et petites entreprises amricaines et europennes de tous les secteurs de l’conomie s’appuient sur les flux de donnes transfrontaliers pour participer l’conomie numrique et largir les opportunits conomiques. L’UE-tats-Unis. Le DPF reprsente l’aboutissement d’un effort conjoint des tats-Unis et de la Commission europenne pour rtablir la confiance et la stabilit dans les flux de donnes transatlantiques et reflte la force de la relation entre l’UE et les tats-Unis fonde sur nos valeurs communes .
Les points centraux du dcret
En particulier, le dcret excutif :
- Ajoute des garanties supplmentaires pour les activits de renseignement lectromagntique des tats-Unis, notamment en exigeant que ces activits soient menes uniquement dans la poursuite d’objectifs de scurit nationale dfinis*; prend en considration la vie prive et les liberts civiles de toutes les personnes, indpendamment de leur nationalit ou de leur pays de rsidence*; ces activits de renseignement sont menes uniquement lorsque cela est ncessaire pour faire avancer une priorit valide en matire de renseignement et uniquement dans la mesure et d’une manire proportionnes cette priorit.
- Mandate les exigences de traitement des informations personnelles collectes dans le cadre des activits de renseignement lectromagntique et tend les responsabilits des responsables juridiques, de la surveillance et de la conformit pour garantir que des mesures appropries sont prises pour remdier aux incidents de non-conformit.
- Exige que les lments de la communaut du renseignement des tats-Unis mettent jour leurs politiques et procdures afin de reflter les nouvelles garanties de confidentialit et de liberts civiles contenues dans l’E.O.
- Cre un mcanisme plusieurs niveaux pour les individus des tats ligibles et des organisations d’intgration conomique rgionale, tels que dsigns conformment l’E.O., pour obtenir un examen indpendant et contraignant et une rparation des rclamations selon lesquelles leurs informations personnelles collectes via le renseignement lectromagntique amricain ont t collectes ou traites par les tats-Unis tats en violation de la loi amricaine applicable, y compris les garanties renforces de l’E.O.
- Demande au Conseil de surveillance de la vie prive et des liberts civiles d’examiner les politiques et procdures de la communaut du renseignement pour s’assurer qu’elles sont conformes au dcret et de procder un examen annuel du processus de recours, notamment pour vrifier si la communaut du renseignement s’est pleinement conforme aux dcisions prises par le CLPO et le DPRC.
Des limites dj soulignes
Cela dit, Schrems estime que le dcret de Biden est peu susceptible de satisfaire au droit de l’UE, et il devrait le savoir il a dj mis fin aux versions prcdentes. Selon Schrems, bien que certains termes aient pu changer dans le nouvel accord, l’UE et les tats-Unis ne semblent toujours pas dfinir certains termes, tels que proportionn , de la mme manire.
En fin de compte, la dfinition de la CJUE prvaudra, tuant probablement nouveau toute dcision de l’UE. La Commission europenne ferme nouveau les yeux sur la lgislation amricaine, pour permettre la poursuite de l’espionnage des Europens , a regrett Schrems.
NOYB, l’organisation de protection de la vie prive de Schrems, a dclar dans sa rponse l’EO de Biden que la Cour de rvision de la protection des donnes n’tait pas un vritable tribunal tel que dfini lgalement par la loi amricaine, et a critiqu le nombre de recours pour les citoyens de l’UE, affirmant qu’il n’y avait aucune garantie supplmentaire qu’ils seraient entendus au-del des frameworks prcdents.
Envoy par NYOBCependant, malgr la modification de ces mots, rien n’indique que la surveillance de masse aux tats-Unis changera dans la pratique. La soi-disant « surveillance en masse » se poursuivra dans le cadre du nouveau dcret excutif (voir la section 2 (c)(ii)) et toutes les donnes envoyes aux fournisseurs amricains se retrouveront toujours dans des programmes comme PRISM ou Upstream, bien que la CJUE ait dclar deux reprises que les lois et pratiques amricaines en matire de surveillance n’taient pas « proportionnes » (au sens europen du terme).
Comment est-ce possible? Il semble que l’UE et les tats-Unis aient convenu de copier les mots « ncessaire » et « proportionn » dans le dcret excutif, mais n’ont pas convenu qu’il aurait la mme signification juridique. Si cela avait le mme sens, les tats-Unis devraient fondamentalement limiter leurs systmes de surveillance de masse pour se conformer la comprhension de l’UE de la surveillance « proportionne ».
Et Schrems de dclarer : Il est tonnant que l’UE et les tats-Unis conviennent que les coutes tlphoniques ncessitent une cause probable et une approbation judiciaire. Cependant, les tats-Unis estiment que les trangers n’ont pas le droit la vie prive. Je doute que les tats-Unis aient un avenir en tant que fournisseur de cloud dans le monde, si les personnes non amricaines n’ont aucun droit en vertu de leurs lois. Il est contradictoire pour moi que la Commission europenne travaille sur un accord qui accepte que les Europens sont des citoyens de « seconde classe » et ne mritent pas les mmes droits la vie prive que les citoyens amricains .
Envoy par NYOBLes entreprises amricaines n’ont pas besoin de se conformer au RGPD. Ce qui est frappant, c’est que la Commission europenne n’a pas demand que les soi-disant Privacy Shield Principles soient aligns sur le RGPD, qui est en vigueur depuis 2018. Les principes sont en grande partie les mmes que les prcdents principes Safe Harbor, qui ont t rdiges en 2000 et continueront d’tre utilises dans le nouveau cadre. Cela signifie que les entreprises amricaines peuvent continuer traiter des donnes europennes sans se conformer au RGPD. Par exemple, ils n’ont mme pas besoin d’une base lgale pour le traitement, comme le consentement. Dans le cadre du Privacy Shield, les entreprises amricaines doivent uniquement proposer une option de dsactivation aux utilisateurs. Ceci malgr le fait que la CJUE souligne qu’il doit y avoir des protections « essentiellement quivalentes » aux tats-Unis.
A premire vue, il semble que les problmes fondamentaux n’aient pas t rsolus et cela reviendra tt ou tard devant la CJUE , a dclar Schrems.
Le Royaume-Uni et les tats-Unis sont parvenus un accord de partage de donnes la semaine dernire.
Sources : Maison-Blanche, NYOB
Et vous ?
Que pensez-vous des propositions de Joe Biden pour rtablir les changes US-UE ?
Quelle lecture faites-vous des limites releves par NYOB ?