Dans le projet de décision, l’UE approuve les mesures de protection des données personnelles élaborées par les États-Unis. Bien que l’avant-projet suscite tout de suite des réactions négatives.
L’échange de données personnelles entre l’Europe et les États-Unis est une question controversée depuis des années. En 2015, l’Autrichien Max Schrems a tiré la sonnette d’alarme en se plaignant que Facebook envoyait illégalement des informations sur les Européens aux États-Unis. Depuis lors, l’Union européenne travaille à l’élaboration d’une législation concluante. Début octobre, le président Biden a signé un décret américain stipulant que l’accès des entreprises américaines aux données personnelles provenant d’Europe sera limité au strict minimum nécessaire.
Accès au dossier
La proposition de la Maison-Blanche envisage que les services répressifs américains demandent des données aux entreprises technologiques basées aux États-Unis, quelle que soit la localisation de ces données. C’est surtout sur ce point que la proposition se heurte à une opposition et que, selon des initiés, elle n’est pas conforme aux règles européennes en matière de protection de la vie privée. Les deux parties, l’UE et les États-Unis, étaient pourtant parvenues à un accord de principe sur les transferts transatlantiques de données au début de cette année.
Pour mieux répondre aux attentes de l’Europe, le gouvernement américain a mis à jour la proposition. Dans le nouveau décret, les personnes originaires de l’UE ont la possibilité de faire appel à un mécanisme de recours indépendant et impartial. Ainsi, ils auront accès à la collecte et à l’utilisation de leurs données par les agences de renseignement américaines.
Protection insuffisante
Le fait que l’Amérique prévoit une procédure d’appel pour le nouveau projet par le biais de la Cour de révision de la protection des données n’impressionne guère les opposants à l’accord. Le groupe d’interêt de Max Schrems, noyb, a déjà indiqué que l’accord ne tient pas compte des exigences légales établies par la Cour de justice européenne. Cette Cour a annulé le « Privacy Shield » avec les États-Unis en juillet 2020.
« Étant donné que le projet de décision est basé sur la décision d’exécution bien connue, je ne vois pas comment cela peut survivre à un appel devant la Cour de justice », a déclaré Max Schrems dans un communiqué. « Il semble que la Commission européenne prenne toujours les mêmes décisions, en violation flagrante de nos droits fondamentaux. »
Selon Noyb, les avis du Conseil européen de la protection des données (CEPD) et des États membres ne sont pas déterminants pour la Commission. « Une fois la décision publiée, les entreprises européennes pourront s’y fier lorsqu’elles enverront des données aux États-Unis. La décision finale ne sera pas prise avant le printemps 2023. Dès lors, les organisations et les particuliers peuvent contester la décision devant les tribunaux nationaux et européens », conclut Schrems.