«Privacy Shield 2.0»: le transfert de données avec les USA à nouveau facilité
La Commission européenne a adopté sa décision d'adéquation concernant le cadre de protection des données UE-Etats-Unis. Facilitant la circulation de données entre l’Union européenne et les USA, ce «Privacy Shield 2.0» va être contesté par l'activiste Max Schrems, à qui l’on doit l’invalidation du Safe Harbor et du Privacy Shield.
La circulation de données entre l’Union européenne et les USA est maintenant facilitée. Le Data Privacy Framework, cadre légal qui succède au Privacy Shield (qui lui-même remplaçait le Safe Harbor), est en effet entériné par la Commission européenne. Dans un communiqué, cette dernière fait savoir qu’elle a adopté sa décision d'adéquation concernant le cadre de protection des données UE-Etats-Unis.
L’Union européenne avait entamé ce processus en décembre dernier (après un accord de principe conclu en mars dernier), jugeant que le cadre juridique américain offre désormais des garanties comparables à celles de l'UE en matière de protection des données. Concrètement, cela signifie que les données à caractère personnel peuvent circuler librement de l'UE vers les entreprises américaines participant au cadre sans qu'il soit nécessaire de mettre en place des protections supplémentaires en matière de protection des données. Le cadre comprend de nouvelles garanties contraignantes, telles que la création d'une Cour chargée du contrôle de la protection des données (Data Protection Review Court - DPRC) et la limitation de l'accès aux données de l'UE par les services de renseignement américains à ce qui est «nécessaire et proportionné».
«Des engagements sans précédent»
«A la suite de l'accord de principe auquel je suis parvenue avec le président Biden l'an dernier, les Etats-Unis ont mis en œuvre des engagements sans précédent pour établir le nouveau cadre», a déclaré la présidente de la Commission européenne, Ursula von der Leyen.
L'activiste Max Schrems, à qui l’on doit les procédures ayant mené à l’invalidation du Safe Harbor et du Privacy Shield, a déjà exprimé ses doutes concernant les garanties prévues à plusieurs reprises. Via le blog de son association Noyb, Max Schrems confirme qu'une procédure sera lancée pour contester cette décision d'adéquation. Il considère que le nouveau cadre légal est en grande partie une copie du Privacy Shield. A ses yeux, les Etats-Unis donneraient par exemple au terme «proportionné» une signification différente de celle de la Cour européenne de justice. En outre, Max Schrems rappelle que les USA n'ont pas réformé le Foreign Intelligence Surveillance Act (FISA) 702 afin d'accorder aux personnes non américaines des protections raisonnables en matière de vie privée.
En février dernier, le Comité européen de la protection des données (EDPB) s'était félicité des améliorations apportées par ce nouveau cadre. Exprimant néanmoins des inquiétudes, concernant notamment certains droits des personnes concernées, les transferts ultérieurs, le champ d'application des exemptions, la collecte temporaire de données en vrac et le fonctionnement pratique du mécanisme de recours. «L'EDPB apprécierait que l'entrée en vigueur et l'adoption de la décision soient subordonnées à l'adoption, par toutes les agences de renseignement américaines, de politiques et de procédures actualisées», soulignait encore le communiqué de l'EDPB.
Le Privacy Shield avait sa déclinaison suisse et cela devrait être le cas pour ce nouvel accord. La procédure devrait toutefois prendre plusieurs mois.
