L’UE et les États-Unis s’accordent sur le libre transfert des données personnelles, et après ?

L’accord de transfert des données validé par Bruxelles

La troisième tentative de la Commission européenne pour trouver un accord stable sur le transfert de données entre l’Union européenne et les États-Unis sera-t-elle la bonne ? Lundi 10 juillet, Bruxelles a adopté « une nouvelle décision d’adéquation » permettant le libre transfert de données personnelles vers les organisations situées aux États-Unis, compte tenu des modifications apportées à la législation américaine censées assurer un niveau de protection adéquat et équivalent aux normes de l’UE. Une liste d’organismes agréés gérée par le ministère américain du commerce sera bientôt rendue publique.

Les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert, écrit la CNIL.

C’est loin d’être la première fois que l’Europe et les États-Unis tentent de trouver un accord sur le libre transfert des données personnelles. En effet, cette décision fait suite aux échecs du « Safe Harbor » de 2000, annulé par la Cour de justice de l’Union européenne (CJUE), et du « Privacy Shield » de 2016, invalidé en 2020 par la CJUE. Fin 2022, la Commission européenne avait annoncé avoir lancé un nouveau processus d’adoption de la décision d’adéquation, ayant abouti à l’annonce de cet été.

La riposte déjà engagée, un renvoi vers la CJUE attendu

La riposte à cette décision ne s’est pas fait attendre, notamment par la voix de noyb, association autrichienne de défense de la vie privée, et de son président, le militant Max Schrems. Selon eux, ce « prétendu » nouvel accord transatlantique est « en grande partie une copie du bouclier de protection des données (Privacy Shield, ndlr) qui a échoué (…) La législation américaine et l’approche adoptée par l’UE n’ont guère changé ». Une copie du Privacy Shield, qui était « déjà lui-même une copie du Safe Harbor » de 2000. « On dit que la définition de la folie est de faire la même chose encore et encore et de s’attendre à un résultat différent », pique Max Schrems.

« Les communiqués de presse d’aujourd’hui sont presque une copie littérale de ceux des 23 dernières années. Se contenter d’annoncer que quelque chose est « nouveau », « robuste » ou « efficace » ne suffit pas devant la Cour de justice. Pour que cela fonctionne, il faudrait modifier la législation américaine en matière de surveillance, ce qui n’est tout simplement pas le cas », ajoute le militant. Les défenseurs de la vie privée ne comptent évidemment pas en rester là. « Nous avons déjà dans nos tiroirs plusieurs options de recours (…). Nous nous attendons actuellement à ce que la CJUE soit à nouveau saisie au début de l’année prochaine », avec une possible suspension de l’accord le temps de son examen.

Au cours des 23 dernières années, tous les accords entre l’UE et les États-Unis ont été déclarés invalides rétroactivement, rendant ainsi illégaux tous les transferts de données effectués dans le passé. Il semble que nous venons d’ajouter deux années supplémentaires à ce ping-pong.