WASHINGTON: Le président américain Joe Biden a signé vendredi un décret visant à fournir des gages aux Européens pour le transfert de leurs données personnelles de l'Union européenne vers les États-Unis dans un nouveau cadre légal, crucial pour l'économie numérique.
Le commissaire européen à la Justice Didier Reynders a salué une "étape très importante", ouvrant la voie à une procédure côté UE qui pourrait se conclure "au printemps prochain".
M. Reynders, qui a mené pendant un an et demi des négociations avec Washington, s'est félicité des nouvelles garanties américaines prévues pour la protection de la vie privée.
Le secteur de la tech s'est aussi réjoui de cette mesure. Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer des données de ressortissants européens vers les États-Unis pour y être traitées ou hébergées avaient été invalidés par la justice européenne en raison de craintes concernant les programmes de surveillance américains.
Max Schrems, juriste et militant autrichien pour le respect de la vie privée, dont les recours avaient débouché sur ces deux décisions de la Cour de justice de l'UE, a quant à lui indiqué à l'AFP qu'il y avait "90% de chances" pour que son ONG intente une nouvelle action en justice contre le futur mécanisme.
En mars, Joe Biden et la présidente de la Commission européenne Ursula von der Leyen avaient annoncé avoir trouvé un accord de principe sur ce nouveau cadre.
«Efforts conjoints»
"Il s'agit de l'aboutissement de nos efforts conjoints pour restaurer la confiance et la stabilité des flux de données transatlantiques", a commenté la secrétaire américaine au Commerce Gina Raimondo, lors d'un briefing avec des journalistes à Washington.
Le texte prévoit des garde-fous supplémentaires pour que l'accès par les agences de renseignement américaines, au nom de la sécurité nationale, à des données recueillies en Europe et transférées ou hébergées outre-Atlantique, soit limité à ce qui est "nécessaire" et "proportionné".
Il ouvre surtout la possibilité aux ressortissants européens d'agir s'ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains et d'en obtenir le cas échéant la suppression ou la correction.
Deux niveaux de recours sont prévus. L'un auprès d'un officier chargé de la protection des libertés civiles à la direction du renseignement américain. En cas de contestation de cette décision de première instance, il est possible de saisir un tribunal indépendant, formé par le ministère de la Justice.
"Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l'Union européenne et couvriront les transferts de données personnelles vers les États-Unis en vertu du droit de l'UE", a affirmé Mme Raimondo.
En juillet 2020, la Cour avait estimé que le "Privacy Shield", utilisé par 5 000 entreprises américaines, dont des géants comme Google ou Amazon, ne protégeait pas de possibles "ingérences dans les droits fondamentaux des personnes dont les données étaient transférées".
L'affaire avait été lancée par une plainte contre Facebook de Max Schrems, déjà à l'origine de l'arrêt de 2015 sur l'ancêtre du "Privacy Shield", "Safe Harbor".
"Il y aura probablement une troisième décision Schrems ou autre devant la Cour de justice de l'UE", a déclaré Didier Reynders à l'AFP, se disant "raisonnablement confiant" cette fois sur une validation du dispositif par la justice européenne, "parce qu'on a vraiment franchi un saut qualitatif important".
Côté UE, la "décision d'adéquation" qui encadrera ces transferts nécessitera notamment un avis du gendarme européen de la protection des données et l'aval des États membres.
Les entreprises du numérique ont exprimé leur satisfaction. "Les transferts de données sont au cœur des relations transatlantiques", a souligné la CCIA. La Software Alliance, regroupant les principales entreprises spécialisées dans le cloud, a souligné l'importance de "mécanismes pérennes et fiables pour un transfert responsable de données entre les pays".
La dernière décision de la CJUE avait plongé dans le flou juridique les entreprises exerçant dans l'UE qui transfèrent ou font héberger des données outre-Atlantique.
Les entreprises américaines qui utilisaient le Privacy Shield se sont rabattues sur un autre mécanisme de transfert, les "clauses contractuelles type" (SCC), qui offrent moins de garanties juridiques. Ces mécanismes alternatifs font aussi l'objet de nombreux recours de l'ONG de Max Schrems, NOYB.