L'Union européenne a adopté un nouvel accord transatlantique sur l'adéquation des données avec les États-Unis.
La décision tant attendue signifie qu'il y a une résolution immédiate de l'incertitude juridique entourant les exportations de données personnelles des utilisateurs de l'UE par des entreprises américaines, un problème qui a touché des milliers d'entreprises ces dernières années, grandes et petites, y compris des entreprises comme Meta et Google. , pour n'en nommer que quelques-uns.
Lors d'une conférence de presse annonçant la décision d'adéquation, le commissaire européen à la justice, Didier Reynders, s'est dit confiant que cette fois, le troisième accord de ce type que l'exécutif du bloc accorde aux États-Unis, sera définitif.
"Avec l'adoption de la décision d'adéquation, les données personnelles peuvent désormais circuler librement et en toute sécurité de l'Espace économique européen vers les États-Unis sans autres conditions ou autorisations", a-t-il déclaré. "Par conséquent, la décision d'adéquation garantit que les données peuvent être transmises entre l'Union européenne et les États-Unis sur la base d'un accord stable et fiable qui protège les individus et offre une sécurité juridique aux entreprises."
L'accord politique UE-États-Unis sur le cadre de confidentialité des données (DPF) a été annoncé en mars 2022, mais il a fallu plus d'un an pour régler tous les détails. Pendant ce temps, le mécanisme précédent visant à simplifier les exportations de données sur l'étang a été invalidé par les juges de l'UE il y a près de trois ans. Ainsi, l'adoption d'un nouvel accord d'accommodement met véritablement fin à des années d'incertitude juridique qui affligent les principaux services cloud américains et de nombreux autres acteurs du numérique.
Cela étant dit, la grande question pour le DPF est de savoir dans quelle mesure ce troisième accord sur l'adéquation des données entre l'UE et les États-Unis sera durable.
Reynders était beaucoup plus optimiste que d'habitude sur cette question, arguant que le cadre n'est pas simplement un copier-coller des mécanismes de transfert précédents (échoués), mais "un système très différent", celui qu'il a suggéré est "une solution très robuste". » à une fracture juridique enracinée.
Il a également suggéré que l'UE a écouté attentivement les commentaires alors qu'elle s'efforçait de finaliser un cadre qui, selon lui, garantit "le plein respect des conditions énoncées dans la décision de la plus haute juridiction de l'UE".
« C'était mon mandat et mon approche dans ces négociations, et cela se reflète dans les solutions que nous avons obtenues. Ils répondent spécifiquement aux exigences établies par la Cour concernant la nécessité de limitations et de garanties d'accès aux données par les agences de renseignement américaines conformément aux principes de nécessité et de proportionnalité et la nécessité de garantir une indemnisation effective aux citoyens de l'UE ».
Cependant, des contestations judiciaires du DPF sont déjà en cours. Les deux accords précédents (également connus sous le nom de Safe Harbor et Privacy Shield) ont été annulés par la Cour suprême du bloc après que les juges ont conclu que les données personnelles exportées n'étaient pas protégées conformément à la norme juridique requise en raison des risques posés par les vastes pouvoirs de surveillance américains et les défenseurs de la vie privée. Ils avertissent que le nouveau cadre pourrait être devant la CJUE dans quelques mois.
Un point clé pour les critiques est que depuis la disparition du Privacy Shield, nous n'avons pas encore vu de réforme des pouvoirs de surveillance américains, sans que les législateurs acceptent la nécessité de réformer la disposition controversée FISA 702 et d'adopter des protections pour la confidentialité des informations des étrangers.
Cela signifie qu'au fond, le DPF cache toujours le même conflit juridique fondamental, entre les droits à la vie privée de l'UE et les pouvoirs de surveillance des États-Unis, et pourrait inexorablement faire face à la même évaluation d'insuffisance une fois que les juges de l'UE analyseront les détails.
Ces derniers mois, plusieurs autres institutions de l'UE ont exprimé leur inquiétude quant au fait que le remplacement prévu par la Commission manque de clarté, ce qui suggère également que les ajustements de l'approche ci-dessus peuvent ne pas fournir l'équivalence essentielle nécessaire en matière de protection des données. Bien que des organisations telles que le Conseil européen de la protection des données aient également reconnu que le DPF va plus loin que le accords de transfert à partir des données précédentes. La question est de savoir si cela va assez loin ou non pour répondre à la norme de la CJUE.
La décision de la Commission elle-même ne signifie pas grand-chose car elle est seule responsable des décisions d'adéquation de l'UE, et Reynders a admis que le feu vert d'aujourd'hui est essentiellement une décision "unilatérale" de l'exécutif européen, de sorte que les législateurs du bloc sont en mesure d'obtenir de refaire leurs propres devoirs une fois de plus, malgré une histoire d'erreurs dans ces mêmes équations.
Le groupe de campagne de confidentialité nob, dont le fondateur et président Max Schrems était à l'origine de la plainte initiale contre les transferts de données UE-États-Unis de Facebook, reste critique à l'égard du cadre.
En réponse à l'annonce de la décision d'adéquation de la Commission aujourd'hui, nob a confirmé qu'il déposerait une demande légale, affirmant qu'il avait des "options pour cela" prêtes à être envoyées aux régulateurs et s'attend à ce que la question revienne devant la CJUE au début de l'année prochaine.
Nous sommes donc des « partenaires » avec les États-Unis, mais les États-Unis continuent de dire que les citoyens de l'UE sont de « deuxième classe » et n'ont aucun droit fondamental (selon le 4e amendement). #TADPF —Max Schrems (@maxschrems) 10 de julio de 2023
Si le calendrier prévu de noyb s'en tenait, il aurait encore des mois (voire des années) de délibération à suivre par le tribunal de l'UE. Ainsi, un verdict final sur le DPF pourrait prendre des années. (Pour un contexte comparatif, les questions juridiques liées au prédécesseur du DPF, le Privacy Shield, ont été portées devant les tribunaux en mai 2018 – la décision de la CJUE annulant le mécanisme en juillet 2020.)
Pour l'instant, Schrems et noyb soutiennent que le nouveau cadre est en grande partie le même que le Privacy Shield qui n'a pas réussi à passer les juges de l'UE, rejetant les changements majeurs mis en évidence par les équipes de l'UE et des États-Unis impliquées dans la négociation de l'accord de remplacement, comme l'apparent US acceptation du principe du droit européen d'utilisation « proportionnée » des données. Ce théâtre de la proportionnalité, comme l'appelle le noyb, est argumenté par le fait que les États-Unis n'attribuent pas la même définition au terme que les juges de l'UE comprendraient dans le décret exécutif attaché au DPF où les États-Unis promettent désormais que sa surveillance des étrangers sera "proportionné".
Ils ne sont pas non plus impressionnés par une tentative du DPF de retravailler un autre problème qui a conduit la CJUE à embrocher le Privacy Shield, lié à la réparation. Ainsi, en lieu et place de la figure équivalente du Médiateur, la DPF propose un Officier de la Protection des Libertés et ce qu'on appelle un « Tribunal ». Mais qui, soulignent-ils, n'est pas réellement une cour de justice ; il s'agit plutôt d'un "organe exécutif partiellement indépendant", c'est pourquoi ils résument les changements comme des "améliorations mineures".
"Ils disent que la définition de la folie est de faire la même chose encore et encore et d'attendre un résultat différent. Comme "Privacy Shield", le dernier accord n'est pas basé sur des changements matériels mais sur des intérêts politiques", a expliqué Schrems dans un communiqué. « Une fois de plus, la Commission actuelle semble penser que le gâchis sera le problème de la prochaine Commission. La FISA 702 doit être prolongée par les États-Unis cette année, mais avec l'annonce du nouvel accord, l'UE a perdu tout pouvoir pour réaliser la réforme de la FISA 702. »
Anticipant les principales lignes d'attaque, Reynders a pris le temps d'aborder les deux domaines dans ses commentaires, expliquant pourquoi la Commission pense que cet accord est différent et restera.
"Nous avons apporté des changements importants au cadre juridique américain pour répondre à ces deux ensembles d'exigences", a-t-il suggéré. « Ce nouveau cadre est sensiblement différent du bouclier de protection des données UE-États-Unis. à la suite du décret émis par le président Biden l'année dernière à la suite de nos négociations. Les exigences de nécessité et de proportionnalité sont désormais clairement énoncées par le biais de garanties contraignantes et exécutoires dans le système juridique américain.
« En pratique, cela signifie que pour décider si et dans quelle mesure les agences de renseignement américaines doivent accéder aux données, elles devront peser les mêmes facteurs que ceux requis par la jurisprudence de la Cour de justice de l'UE. Ces facteurs comprennent la nature des données, la gravité de la menace ou l'impact possible sur les droits des personnes. Sur cette base, chaque agence de renseignement américaine a revu ses règles et procédures internes pour mettre en œuvre ces nouvelles exigences au niveau opérationnel."
Concernant le mécanisme de recours retravaillé, Reynders l'a décrit comme "un tribunal indépendant et impartial qui est habilité à enquêter sur les plaintes déposées par les Européens et à rendre des décisions de recours contraignantes", notant que l'organe a le pouvoir d'ordonner la suppression des données collectées en violation de les exigences de nécessité ou de proportionnalité.
En outre, il a souligné que la Commission avait prêté attention à l'accessibilité du recours, suggérant que le mécanisme avait été conçu pour être "convivial", notant que rien n'empêchait les citoyens de l'UE de déposer une plainte.( stipulant qu'ils peuvent le faire dans leur propre langue, par l'intermédiaire de leur autorité locale de protection des données, qui transmettra ensuite la plainte aux autorités compétentes pour eux).
"Des conditions d'admissibilité très faibles seront appliquées", a-t-il souligné. « En particulier, le lanceur d'alerte n'aura pas à prouver que les agences de renseignement américaines ont accédé à leurs données. Ceci est très important et crucial pour garantir un accès efficace à la réparation dans une zone qui est par nature secrète.
"Avant d'aller au tribunal, la plainte du lanceur d'alerte sera représentée par un avocat spécial, là encore, gratuitement avec les habilitations de sécurité nécessaires. Ces procédures impliquent un certain degré de secret. Avec un avocat spécial, le tribunal ne prendra sa décision qu'après avoir entendu les deux parties. Enfin, le fonctionnement de ce mécanisme de recours, y compris les aspects de procédure régulière et de respect des décisions de la nouvelle cour, sera supervisé par un organisme indépendant spécifiquement chargé de la protection des données, le Conseil de surveillance de la vie privée et des libertés civiles.
"Les principes du Data Privacy Framework sont solides et je suis convaincu que nous avons fait des progrès significatifs qui répondent aux exigences de la Cour", a déclaré Reynders, informant les autorités américaines de la nécessité de respecter effectivement leurs engagements.
"Dans le même temps, la Commission accordera une attention particulière à la mise en œuvre de ce nouveau cadre juridique et n'hésitera pas à réagir en cas de problème ou de problème", a-t-il souligné.
Les cyniques pourraient dire que toute la saga UE-États-Unis n'est qu'un moyen pour les législateurs de part et d'autre d'un schisme juridique inamovible d'acheter encore quelques années de grâce (et de faire tourner les roues du commerce) en frappant à plusieurs reprises le point critique sur le chemin. – laissant les régulateurs et les tribunaux de l'UE aux prises avec les conséquences qui en résultent (et les entreprises confrontées à un autre gâchis juridique coûteux si l'accord finit par être à nouveau abandonné).
C'est un point de vue qui est assez crédible si l'on considère comment Meta, qui a fait l'objet d'une plainte concernant ses transferts de données entre l'UE et les États-Unis, a confirmé une violation des exigences d'exportation de données du bloc. cesser d'envoyer les données des Européens même si les exportations se sont révélées illégales.
En mai, le géant de la technologie s'est vu accorder un délai d'environ six mois pour se conformer à l'ordonnance de suspension des données. Maintenant, quelques semaines après cette ordonnance, nous avons un mécanisme de transfert de haut niveau nouvellement ratifié auquel l'entreprise doit adhérer, ce qui signifie que vous pouvez simplement ignorer l'ordre d'arrêt encore humide en modifiant votre base juridique revendiquée pour les exportations de données vers le DPF et éviter d'avoir à suspendre tout flux de données, en contournant essentiellement l'application stricte (quoique, avec une facture d'environ 1.3 milliard de dollars à payer).
Cette danse apparemment sans fin, qui nob appelle un "ping-pong juridique" frustrant, illustre à quel point il est difficile pour les citoyens de l'UE d'exercer les droits à la vie privée que la loi revendique pour protéger leurs informations, alors même que les géants de la technologie avec des modèles commerciaux d'exploration de données lucratifs continuent de piétiner les droits des personnes comme d'habitude , tant qu'ils réalisent suffisamment de bénéfices pour pouvoir déduire les astreintes en tant que coût de l'activité.
Pourtant, Reynders a également mis en garde les géants américains de la technologie, notant : "Les entreprises seront tenues de démontrer qu'elles sont pleinement conformes au RGPD [Règlement général sur la protection des données]."
Et sur ce front, Meta, au moins, a de plus en plus mal à la tête alors que les régulateurs de l'UE, et plus récemment la CJUE, ont remis en question la base juridique qu'elle revendique pour le traitement des données des personnes à des fins de ciblage publicitaire. Même si le géant de la technologie publicitaire n'est pas désormais obligé de couper tous ses flux de données entre l'UE et les États-Unis, certaines réformes difficiles de la manière dont il gère ses activités de publicité comportementale dans l'UE semblent désormais inévitables.
