La confiance n’exclut pas le contrôle, c’est pourquoi la Commission européenne a convenu de réexaminer périodiquement la mise en œuvre par les États-Unis des garanties en matière de protection des données personnelles.
Celles-ci sont censées garantir aux citoyens européens que leurs droits en la matière sont effectivement protégés lors de leur traitement par des organisations américaines.
Elles ont été mises en place en juillet 2023, à l’occasion de la signature d’une nouvelle décision d’adéquation entre les deux pays.
Rien à signaler
Suite à son premier examen, la Commission estime que « les autorités américaines ont mis en place tous les éléments » encadrant la protection des données personnelles. Pour conduire cette inspection, la Commission européenne explique avoir consulté plusieurs organisations civiles et gouvernementales chargées de travailler à la mise en application du cadre légal, ainsi que les données des citoyens récoltées au travers d’une plateforme de sondage. La procédure d’examen s’est aussi appuyée sur la réunion de juillet 2024 entre la délégation européenne et les équipes du commissaire américain de la justice et du ministère du commerce.
Aux États-Unis, une entreprise qui souhaite récolter ou traiter les données personnelles de citoyens européens doit ainsi s’enregistrer auprès du ministère du commerce et s’engager à respecter certaines règles supplémentaires. Après sa mise en place il y a un an, le ministère du commerce américain explique avoir certifié 2800 entreprises dans ce cadre. Cette certification permet à une entité basée dans l’UE de transférer des données personnelles d’européens vers les entreprises certifiées sans avoir besoin de mettre en place de garanties supplémentaires.
A l’heure actuelle, les auteurs du rapport soulignent qu’aucun recours n’a été initié contre une entreprise qui ne respecterait pas les conditions imposées par ce cadre d’échange. Pour transférer des données vers une organisation non certifiée, il faut se tourner vers les mécanismes de clauses contractuelles type ou de règles contraignantes d’entreprise.
Noyb en embuscade
Outre un effort des entreprises concernées, l’examen conduit par la Commission Européenne estime également que les garde-fous mis en œuvre par les États-Unis pour limiter l’accès aux données personnelles des citoyens européens par les services du renseignement américain sont suffisants.
Comme le souligne 01net, ces dispositions restent aujourd’hui contestées par les autorités européennes de protection des données ainsi que par l’association de protection des libertés en ligne Noyb. Celle-ci explique ainsi qu’elle entend toujours attaquer en justice le nouveau cadre mis en place entre les États-Unis et la Commission européenne.
C’est notamment l’action en justice du fondateur de l’association Max Schrems qui avait conduit à l’invalidation par la CJUE des précédents cadre de transfert des données, le Privacy Shield et le Safe Harbour.