Le vendredi 7 octobre 2022, Joe Biden a signé un décret pour la mise en œuvre d’un nouveau cadre pour le transfert des données personnelles de l’Union européenne vers les États-Unis.
Ce nouveau texte vise à améliorer la confiance et la stabilité des flux de données transatlantiques.

Le commissaire européen à la justice, Didier Reynders, a salué cette avancée en affirmant que « cette signature marque une étape importante dans notre détermination à rétablir des flux de données transatlantiques sûrs et libres ».

Le contexte de la signature du décret [1].

En 2015, un utilisateur européen de Facebook, Max Schrems, a déposé une plainte auprès de l’autorité de contrôle irlandaise visant à interdire le transfert de ses données vers des serveurs situés aux États-Unis. Toutefois, sa demande a échoué, ce qui n’a pas permis de faire évoluer la législation en la matière.

Une nouvelle fois à l’initiative de Max Schrems, le 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis (le Privacy Shield [2]).

A la suite de cette décision Schrems II du 16 juillet 2020, chaque organisme doit vérifier la légalité des transferts des données personnelles hors de l’Union européenne et notamment les éventuels transferts vers les États-Unis.

Toutefois, ce régime de transfert des données des européens vers les États-Unis était fortement critiqué en raison de l’inapplication de ce régime par les géants du web : Google, Apple, Facebook, Amazon et Microsoft aussi appelés les « gafam ».

A ce sujet, la Commission nationale de l’informatique et des libertés a procédé à une mise en demeure d’un gestionnaire de site web français qui utilisait Google Analytics [3].

Le 25 mars 2022, Ursula von der Leyen, présidente de la Commission européenne, et Joe Biden, président des Etats-Unis ont signé un accord de principe pour fixer un nouveau cadre pour les flux de données transatlantiques.

Le décret du 7 octobre 2022 est donc la suite logique de l’accord de principe annoncé en mars.

Une avancée pour la protection des données personnelles.

Le décret du 7 octobre 2022 signé par le président américain vise à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains qui recueillent les données en Europe pour les transférer ou les héberger aux États-Unis.

Ce décret institue :
 un mécanisme indépendant et contraignant permettant à tout citoyen européen de demander réparation dès lors que leurs données personnelles sont illégalement collectées par les renseignements américains ;
 des garanties supplémentaires pour l’accès aux services de renseignement américains aux données des citoyens européens ;
 deux niveaux de recours : un auprès d’un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, et un autre auprès d’une nouvelle cour d’examen de la protection des données. Cette cour sera habilitée à enquêter sur les plaintes des citoyens de l’Union européenne, y compris pour obtenir des informations pertinentes auprès des services de renseignement, et pourra prendre des décisions correctives contraignantes.

En outre, ces nouvelles mesures permettront aux citoyens de l’Union européenne de demander réparation auprès d’un tribunal indépendant, composé de membres extérieurs au gouvernement américain.

De plus, l’administration de Joe Biden a demandé à la communauté américaine du renseignement de « mettre à jour ses politiques et procédures afin de les adapter aux nouvelles protections de la vie privée prévues par le cadre ».

Toutefois,la validation de ce décret par l’Union européenne n’a pas encore été effectuée. Le décret doit être validé par le Conseil européen de la protection des données et la Commission européenne, ce qui pourrait prendre plusieurs mois.

De plus, l’ONG My Privacy Is None of Your Business (NOYB [4]), fondée par Max Schrems, précise dans un communiqué que l’organisation intentera probablement une nouvelle action devant la Cour de justice de l’Union européenne (ci-après « CJUE ») si la décision de la Commission européenne n’est pas conforme au droit européen et aux arrêts de la CJUE.

Le militant Max Schrems est assez sceptique quant au recours auprès de la cour d’examen de la protection des données. Selon Schrems, « il est clair que cette cour n’est tout simplement pas une cour ».

Par conséquent, quand bien même le décret signé par Joe Biden s’illustre comme une nouvelle base juridique et une avancée significative en matière de protection des données des européens, il ne résout pas toutes les problématiques en la matière.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/