Transfert de données vers les États-Unis : l'Acte III sera-t-il le dernier ?

La Commission européenne et Joe Biden se sont entendus sur le texte qui remplacera le Privacy Shield. La CJUE se prononcera sur son adéquation aux exigences EU et Max Schrems se tient prêt !

La présidente de la Commission européenne et Joe Biden se sont entendus sur le texte qui succédera au Privacy Shield. Les contours comme les délais de l’accord sont encore flous, et l’annonce, hautement politique. Reste à savoir si le texte en résultant sera, cette fois, à la hauteur des attentes de la CJUE (Cour de justice de l’Union européenne), qui ne manquera pas de se prononcer sur son adéquation aux exigences européennes.

La troisième version de cet accord entre l’Europe et les Etats-Unis sera-t-elle la bonne ? Les deux précédents textes visant à encadrer et faciliter les transferts de données depuis l’Europe vers les États-Unis, à savoir le Safe Harbor et le Privacy Shield, ont été invalidés par la CJUE respectivement en 2015 et en 2020. Le fondement des décisions d’invalidation était strictement identique entre ces deux décisions, et peut être résumé par le passage suivant de la décision Schrems II invalidant le Privacy Shield :

“Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers ce pays tiers […], ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire.” 

Ainsi, qu’il s’agisse du Safe Harbor ou du Privacy Shield, les lois de surveillance aux États-Unis donnant aux autorités administratives des pouvoirs étendus en termes d’accès aux données personnelles traitées par des entreprises américaines étaient considérées par la CJUE comme incompatibles avec les exigences européennes de protection des données. Sur la base de cette analyse, les décisions d’adéquation visant les États-Unis et se basant d’abord sur le Safe Harbor, puis sur le Privacy Shield, ont toutes deux été révoquées par la Cour, obligeant les entreprises souhaitant transférer des données vers les États-Unis à signer des Clauses Contractuelles Types, en plus d’implémenter des mesures complémentaires de protection.

Malgré ces deux échecs, l’accord portant sur un nouveau cadre juridique régulant les transferts de données entre l’Europe et les États-Unis a été annoncée le 25 mars par Joe Biden et Ursula von der Leyen, Présidente de la Commission européenne. L’annonce publiée par la maison blanche indique :

“Les États-Unis et la Commission européenne se sont engagés à mettre en place un nouveau cadre transatlantique de protection des données [...] qui répondra aux préoccupations soulevées par la CJUE lorsqu'elle a annulé en 2020 la décision d'adéquation de la Commission basée sur la législation du Privacy Shield”.

Comme indiqué, les préoccupations soulevées par la CJUE étaient principalement liées aux lois de surveillance américaines et aux possibilités disproportionnées d’accès aux données à caractère personnel qu’elles offraient aux autorités administratives. Il semble donc (enfin ?) que les États-Unis aient décidé de s’attaquer à la racine du problème, c’est-à-dire leurs lois de renseignement.

Nous ne disposons pour le moment pas du détail de l’accord, dont le texte n’a pas été publié et qui est probablement encore en cours de rédaction. Certaines orientations générales ont cependant été communiquées par l’annonce du 25 mars (voir la publication de la Commission). Ces dernières mentionnent un système de recours “à deux niveaux” et la création d’une Cour de revue de la protection des données (Court Review Data Protect). Au-delà de ces aménagements institutionnels, la communication portant sur cet accord indique également la création d’un « nouvel ensemble de règles et de garanties contraignantes pour limiter l'accès aux données par les autorités américaines chargées du renseignement à ce qui est nécessaire et proportionné pour protéger la sécurité nationale ».

Ces annonces pourraient permettre un certain optimiste, dans le sens où l’accent semble en effet être mis sur l’adaptation des lois de surveillance américaines, fondement principal de l’invalidation des deux cadres juridiques précédents. Si les mesures d’encadrement sont suffisamment ambitieuses, la troisième fois pourrait en effet être la bonne.

Cet optimisme doit malgré tout rester prudent : même si l’accord voit en effet le jour, il nous faudra bien entendu attendre que la CJUE se prononce sur sa solidité et son adéquation concrète aux standards européens de protection des données. Ce qu’elle devrait être amenée à faire rapidement, Max Schrems aillant déjà annoncé sa volonté d’émettre un recours dès l’entrée en vigueur du texte :

“Le texte final aura besoin de plus de temps, une fois qu'il sera arrivé, nous l'analyserons en profondeur, avec l’aide de nos experts juridiques américains. Si ce texte n'est pas conforme au droit européen, nous [...] le contesterons probablement. Finalement, la Cour de justice tranchera une troisième fois. Nous nous attendons à ce que l'affaire revienne devant la Cour dans les mois qui suivront l’entrée en vigueur du texte."

Pour conclure, notons qu’il est encore prématuré de tenter de tirer des conclusions juridiques précises à partir d’une telle annonce qui reste éminemment politique. Cet accord démontre la volonté européenne et américaine de trouver des solutions afin de simplifier les transferts de données transatlantiques. Et si en effet l’intention affichée d’encadrer les règles de surveillance américaines semble aller dans la bonne direction, aucune analyse juridique précise et sérieuse ne pourra être opérée avant que le véritable texte résultant de l’accord ne soit produit. Gardons en tête que la temporalité juridique est distincte de la temporalité politique, et que se prononcer sur la solidité de l’accord en l’état serait prématuré ; il nous faudra attendre probablement quelques mois avant de pouvoir déterminer si cette troisième tentative d'encadrement des transferts de données transatlantique sera celle qui permettra en effet de ramener une sécurité juridique qui manque cruellement aux acteurs européens en ce qui concerne leurs transferts ; ou s’il s’agira d’un Privacy Shield bis, qui ne fera qu’accroître une instabilité juridique déjà bien établie.