Echange de données transatlantique: le Privacy Shield 2.0 se profile
L'Union européenne et les Etats-Unis ont conclu un accord de principe qui devrait aboutir à un nouveau cadre transatlantique de protection des données succédant au Privacy Shield: le Trans-Atlantic Data Privacy Framework. Reste à savoir si la Suisse s’alignera et si les défenseurs de la privacy combattront l'accord. co
Depuis l’été 2020, l'échange de données entre l'Union européenne et les Etats-Unis fait face à une certaine insécurité juridique. La Cour de justice de l'Union européenne (CJUE) avait alors invalidé le Privacy Shield. Succédant au Safe Harbor en 2016, cet accord encadrait la question du transfert de données personnelles des entreprises européennes vers les Etats-Unis. Privacy Shield et Safe Harbor ont cessé d'être en vigueur suite aux plaintes déposées par le militant autrichien Max Schrems. Les arrêts associés sont ainsi appelés «Schrems I» et «Schrems II».
Le cadre transatlantique pour la protection des données personnelles
Dans un communiqué commun, les Etats-Unis et l'UE expliquent avoir conclu un accord de principe sur la façon dont ils comptent faire évoluer le cadre légal. Les échanges de données UE-USA seront régis par le Trans-Atlantic Data Privacy Framework (TADPF). Le nouvel accord doit garantir le flux libre et sûr des données entre l'UE et les Etats-Unis. L'arrêt «Schrems II» sera pris en compte, selon le communiqué, qui ne va pas dans les détails, le texte devant encore être finalisé ces prochaines semaines.
L’UE et les USA promettent «un engagement sans précédent» pour renforcer la protection en matière de vie privée et de libertés civiles contre les activités des services de renseignement américains. Les Etats-Unis devront mettre en place de nouvelles garanties pour s'assurer que les activités de surveillance des signaux sont nécessaires et proportionnées à la poursuite d'objectifs de sécurité nationale définis. Une Cour d'examen de la protection des données devra faire office d'instance de recours pour les citoyens européens. Les entreprises US traitant des données transférées depuis l'UE seront soumises à des obligations, dont celles d'auto-certifier leur adhésion aux principes par l'intermédiaire du ministère américain du commerce.
Quid de l'application de l'accord en Suisse?
«La mise en œuvre juridique de l'accord politique semble ambitieuse, car les exigences de la CJUE selon l'arrêt “Schrems II” sont élevées», commente Martin Steiger, avocat et expert en numérique suisse alémanique. Sur son blog, l’avocat se demande si la Suisse pourra s'aligner sur ce nouvel accord. Faute de quoi «les entreprises et autres responsables en Suisse seraient considérablement désavantagés par rapport à leurs concurrents européens».
Max Schrems se montre déjà critique
Reste maintenant à voir si Max Schrems vise le hat-trick. Alors que le Safe Harbor et le Privacy Shield sont déjà tombés suite à ses actions en justice, il se montre déjà critique concernant le TADPF. «En 2015, nous avions déjà un accord purement politique qui n'avait pas de base juridique [...] nous pourrions maintenant jouer le même genre de jeu une troisième fois", a réagi le militant. Il ajoute qu’il analysera en profondeur le texte final. «S'il n'est pas conforme à la législation européenne, nous ou un autre groupe le contesterons probablement. Au final, la Cour de justice tranchera une troisième fois. Nous nous attendons à ce que cette affaire revienne devant la Cour dans les mois qui suivent une décision finale», déclare Max Schrems.
Pour en savoir plus sur le TADPF, consultez la fiche d'information de l'UE (PDF).