Transfert de données personnelles UE-USA : Joe Biden signe un décret fondateur

Le président Joe Biden a signé ce vendredi un décret exécutif salvateur qui pose les bases du futur du transfert de données de l'Union européenne vers les États-Unis.

Avec un léger retard sur le calendrier (la nouvelle était attendue en début de semaine), Joe Biden vient de signer le fameux décret de mise en œuvre du cadre de confidentialité des données entre son pays et l'UE. Le président américain fait ainsi un grand pas vers une nouvelle version du très contesté Privacy Shield. Celle-ci permettra de protéger les citoyens de l'Union européenne de certaines ingérences venant d'outre-Atlantique.

Un décret qui fait suite à l'arrêt Schrems II qui avait invalidé le Privacy Shield

Ce décret arrive après les engagements réciproques sur lesquels s'étaient mis d'accord Joe Biden et la présidente de la Commission européenne Ursula von der Leyen en mars dernier. Il était évidemment important pour les deux parties de trouver un accord autour d'une question à… 7 100 milliards de dollars (ou 7,1 billions de dollars).

Le décret pose « une base juridique importante pour les flux de données transatlantiques en répondant aux préoccupations soulevées par la Cour de justice de l'Union européenne », précise la Maison-Blanche. Effectivement, si le Privacy Shield fut dans un premier temps reconnu comme offrant un niveau de protection suffisant pour les données personnelles transférées de l'UE vers les États-Unis, la CJUE avait retoqué cette position en annulant la décision de Bruxelles, le 16 juin 2020. Il s'agit du fameux arrêt Schrems II.

Le décret exécutif signé ce vendredi 7 octobre par le président Biden vient donc renforcer les garanties en matière de confidentialité et de libertés civiles pour les activités de renseignement des États-Unis. Plus concrètement, ce décret va limiter la capacité des agences de sécurité et de renseignements américaines à accéder aux données personnelles des citoyens de l'Union européenne qui seraient transférées aux États-Unis.

Des garanties, mais aussi une possibilité de recours en justice introduites

Grâce aux garanties supplémentaires assurées par le texte, les services de renseignement américains ne pourront accéder aux données transférées qu'en cas d'absolue nécessité, comme dans le cas d'une vraie menace sur la sécurité nationale. Seules, ces garanties pourraient être sujettes à diverses interprétations, voire abus. Mais tout un arsenal les accompagne.

Par exemple, les citoyens potentiellement lésés pourront se retourner contre le ministère de la Justice américain et engager des poursuites en vue de demander réparation. Ces poursuites passeront par un examen mené par un organisme indépendant, dont les juges ne devront pas avoir de liens avec le gouvernement américain et devront être de vrais spécialistes de la question des données personnelles. Cet organisme devrait être le tribunal de révision de la protection des données, qui sera spécialement créé. Les agences de renseignement des États-Unis, elles, seront tenues de mettre à jour leurs politiques et procédures pour s'aligner sur les éléments du décret.

Ce décret constitue la dernière étape majeure à l'établissement d'un nouvel accord transatlantique de partage de données. Il est aujourd'hui nécessaire aux entreprises (les grandes comme les petites) concernées par le transfert des informations. La Commission européenne, qui en a pris connaissance, transposera prochainement ce dernier dans ses propres règles pour ensuite l'imposer aux entreprises. Ce processus pourrait mettre six mois pour déboucher sur un accord définitif espéré au mois de mars 2023.

Source : White House