Alexandra Iteanu (Avocate) "Dans les faits, l'ingérence des renseignements américains est encore possible lors du transfert de données depuis l'UE"
Avocate spécialisée dans le numérique, Alexandra Iteanu revient sur le nouveau cadre adopté par la Commission européenne ce 10 juillet permettant le transfert de données entre l'Europe et les Etats-Unis sans encadrement spécifique.
JDN. Le nouveau cadre légal de transfert de données entre l'Union européenne et les Etats-Unis est issu d'un long parcours. Est-il désormais effectif ?
Alexandra Iteanu. Oui, ce nouveau cadre est d'ores et déjà opérationnel. En effet, dans un premier temps, les Etats-Unis et l'Europe s'étaient mis d'accord sur l'instauration d'un Privacy Shield, qui a été invalidé par la cour de justice de l'Union européenne car il y avait des craintes d'ingérences potentielles des renseignements américains. Alors, les transferts de données sont devenus illicites dès lors qu'ils ne respectaient pas le chapitre 5 du RGPD (d'où l'interdiction de Google Analytics par la CNIL). Le nouveau cadre a été adopté en réaction à cette invalidation du Privacy Shield. Le pouvoir exécutif américain a proposé en 2022 une liste de nouvelles garanties qui ont ensuite été reprises par la Commission européenne dans un projet de décision d'adéquation. Les "Cnil européennes" ont fait part de leur inquiétude concernant ce projet mais la Commission l'a malgré tout adopté.
Qu'est-ce que cela change concrètement pour les entreprises et les particuliers ?
Les transferts de données entre l'UE et les Etats-Unis sont désormais possibles sans un encadrement spécifique autre que cette nouvelle réglementation ou sans toutes les garanties mentionnées par le chapitre 5 du RGPD. Les entreprises peuvent par exemple de nouveau utiliser Google Analytics. Il y a d'autres nouveautés. Des nouveaux droits sont accordés aux individus : droit d'accès, droit d'effacement et droit de retrait. Le principe européen de proportionnalité a été intégré. Enfin, un nouveau mécanisme de recours pour la modification ou la suppression de données personnelles a vu le jour. Avec, en Europe, les autorités nationales compétentes qui traiteront les plaintes (la Cnil en France) et aux Etats-Unis, deux nouvelles entités : la Cour de révision de la protection des données et le délégué à la protection des libertés civiles.
Ce nouveau cadre a-t-il une chance de perdurer ?
Il est possible que ce nouveau cadre soit de nouveau invalidé par la CJUE. L'association Noyb, très influente, a déjà annoncé qu'elle allait effectuer un recours auprès de cette dernière dès 2024. Le problème, c'est que dans les faits, l'ingérence des renseignements américains est encore possible. Certes, les Etats-Unis ont mis en place des garde-fous mais ils seront sans doute opaques et difficilement contestables. Sur le papier, on a l'impression que les principes européens de protection des données sont respectés. Mais c'est seulement sur le papier. Les Etats-Unis décideront eux même des moyens de contrôle. De plus, la liste des entreprises qui respectent ce nouveau cadre sera réalisée par le gouvernement américain. Tant que la loi outre-Atlantique ne changera pas, la CJUE, qui a une vision moins diplomatique et commerciale que la Commission, risquera d'annuler les tentatives de réglementation. Malheureusement, ce nouveau cadre montre que les enjeux économiques et politiques sont plus forts que la souveraineté européenne.