C’est une « nouvelle étape » dont se félicite Washington dans un dossier ultrasensible : vendredi 7 octobre, le président américain, Joe Biden, a signé un décret permettant d’avancer dans la mise en œuvre d’un nouveau cadre pour le transfert des données personnelles entre l’Union européenne et les Etats-Unis. Ce document prolonge l’accord politique annoncé fin mars par M. Biden et la présidente de la Commission européenne, Ursula von der Leyen. Le commissaire européen à la justice, Didier Reynders, a salué une « étape importante ».
L’enjeu est de taille car le précédent accord, nommé « Privacy Shield », a été invalidé par la justice européenne en juillet 2020. Les juges avaient en effet jugé que certaines lois extraterritoriales américaines donnaient aux autorités et services de renseignement des Etats-Unis un accès aux données des Européens jugé disproportionné et insuffisamment encadré. Cette décision a créé une incertitude juridique mettant en jeu la légalité des services en Europe de Google, Facebook, Amazon, Apple, Microsoft… Et a poussé certains Etats européens, dont la France, à renforcer leurs politiques de souveraineté des données, notamment en matière d’hébergement en ligne dans le « cloud ».
Dès l’annonce de ce vendredi, les lobbys des géants du numérique se sont réjouis : « Les transferts de données sont au cœur de la relation transatlantique et nourrissent le commerce qui aide nos économies à fonctionner, pour le bénéfice des citoyens et des entreprises, qui ont besoin de clarté juridique sur ces questions », a écrit l’association professionnelle CCIA (Computer and Communications Industry Association). « Nous apprécions l’attention portée par l’administration Biden à ce sujet crucial et avons hâte de travailler avec l’UE pour mettre en œuvre l’accord dans les mois à venir », a communiqué l’ITI (Information Technology Industry Council).
« Le décret répond pleinement à la décision Schrems II de la Cour de justice de l’Union européenne », a affirmé la secrétaire d’Etat au commerce américaine, Gina Raimondo, en référence à l’activiste Max Schrems, qui a déposé la plainte à l’origine de l’invalidation du Privacy Shield et de son prédécesseur, le Safe Harbor, en 2015.
Concrètement, le décret ajoute des « garde-fous » afin, notamment, que les agences de renseignement américaines demandent accès à des données européennes « seulement quand elles poursuivent un objectif de sécurité nationale » et « de façon proportionnée ». Surtout, il propose un mécanisme de recours, à deux niveaux, pour les citoyens européens qui s’estimeraient lésés : l’un auprès d’un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l’autre auprès d’un tribunal indépendant formé par le ministère de la justice.
Il vous reste 47.85% de cet article à lire. La suite est réservée aux abonnés.