En attendant Schrems III
Par Bertrand Lemaire | Le | Cybersécurité
Après le Safe Harbor et le Privacy Shield annulés par les deux « arrêts Schrems », un nouveau dispositif pour le transfert de données entre l’Europe et les Etats-Unis malgré le RGPD est mis en place. L’AFCDP est dubitative.
Le 7 octobre 2022, le président américain Joe Biden a signé un « executive order » destiné à rassurer les Européens sur les transferts de données entre l’Europe et les Etats-Unis. Il s’agit de la troisième tentative d’encadrer ces transferts en les rendant par défaut compatibles avec le RGPD malgré la législation américaine permettant aux services de renseignement d’accéder aux données gérées par toutes les entreprises nationales. L’enjeu est évidemment considérable puisque le recours à la totalité des services numériques américains (dont les principaux fournisseurs de cloud) est concerné. Les deux tentatives précédentes, le Safe Harbor et le Privacy Shield, ont été bloquées par les deux « arrêts Schrems » de la Cour de justice de l’Union européenne (CJUE). Cette troisième tentative sera-t-elle la bonne ou bien se dirige-t-on vers un « arrêt Schrems III », la législation à effet extra-territorial états-unienne étant par nature irréfragablement incompatible avec le RGPD ?
Ce texte est nécessaire mais il est en lui-même insuffisant pour rétablir la sécurité juridique des échanges de données transatlantiques.
« Le texte signé par Joe Biden qui encadre l’accès aux données par les services de renseignement est nécessaire, mais il est en lui-même insuffisant pour rétablir la sécurité juridique des échanges de données transatlantiques : les prochaines étapes nécessiteront la vigilance des acteurs » a commenté Paul-Olivier Gibert, président de l’AFCDP (Association française des correspondants à la protection des données personnelles). Au delà de la promesse de ne pas abuser des possibilités offertes par la réglementation américaine, parmi les mesures prises, l’executive order de Joe Biden établit un système de recours, au travers de la Data Protection Review Court (DPRC), face aux excès des accès aux données. Mais rappelons que les personnes et les entreprises dont les données ont été violées par les services américains ne sont pas censées être au courant de cette violation et auraient donc un peu de difficultés à exercer un recours effectif.
Il reste du chemin avant un blanc-seing
Désormais, la balle est cependant dans le camp européen. En premier lieu, l’European Data Protection Board (EDPB) va rendre un avis sur l’évolution réglementaire américaine. Le Parlement européen et le Conseil se pencheront ensuite sur le sujet. Si toutes ces instances donnent un accord, alors la Commission Européenne pourra émettre une décision d’adéquation. Malgré le RGPD, cette décision ouvrirait un droit par défaut à utiliser des services numériques traitant des données de citoyens et d’entreprises européens mais hébergés par des entreprises américaines ou situées sur le territoire américain.
Mais, bien entendu, cette décision pourrait alors faire l’objet d’un recours devant la Cour de justice de l’Union européenne (CJUE). Un tel recours serait très probable et pourrait déboucher sur un « arrêt Schrems III ». Et un nouveau cycle de discussions entre Etats-Unis et Union Européenne pourrait alors s’enclencher.
En savoir plus
- [Sur le site de la Maison Blanche] Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities.
- [Sur le site de la Maison Blanche] FACT SHEET : President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework.
- [Sur le site de la Commission Européenne] Questions & Answers : EU-U.S. Data Privacy Framework.