Pour gérer vos consentements :

Vers un nouveau Privacy Shield : un accord de principe et des questions

Jamais deux sans trois ? La question peut se poser à l’heure où se profile une nouvelle décision d’adéquation entre l’UE et les États-Unis. Ursula von der Leyen – présidente de la Commission européenne – et Joe Biden ont effectivement annoncé un accord de principe entre les deux blocs.

Objectif de ces tractations : encadrer les flux transatlantiques de données personnelles. Avec une garantie principale pour les citoyens européens : que leurs données bénéficient, aux USA, d’un niveau de protection « substantiellement équivalent » à celui assuré dans l’Union.
Le Safe Harbor et le Privacy Shield ont tour à tour rempli ce rôle d’encadrement. Mais la Cour de justice de l’Union européenne les a tous deux invalidés, respectivement en 2016 et en 2020.

L’invalidation du Privacy Shield a tenu, notamment, à la législation américaine sur la surveillance électronique. À travers deux éléments en particulier. D’un côté, l’article 702 du FISA (Foreign Surveillance Act). De l’autre, l’ordre exécutif (décret) 12333. Le tout à lire en combinaison avec la PPD-28, directive présidentielle de 2014 censée limiter la portée des collectes de données.

Ni l’un, ni l’autre ne correspond aux exigences minimales attachées au principe de proportionnalité, a conclu la CJUE. Avec les commentaires suivants :

– Article 702 : pas de garanties pour des personnes non américaines
– E.O. 12333 : lacune dans la protection juridictionnelle à l’égard des ingérences fondées sur ce décret
– PPD-28 : encadre de manière insuffisamment claire et précise la portée des collectes « en vrac » de données personnelles

Du « coordinateur chevronné » au « tribunal indépendant »

Washington ne paraît pas enclin à modifier cette base. Tout du moins par la voie législative (l’exécutif ne se voit semble-t-il pas passer par le Congrès). Ce qui soulève des doutes quant au niveau de contrainte juridique que portera le successeur du Privacy Shield.

L’administration Biden a déjà essuyé plusieurs échecs. Le chef d’État américain avait, entre autres, visé un accord en juin 2021, pour sa première rencontre en personne avec Ursula von der Leyen. Une visite sous haute tension, quelques jours après des révélations d’espionnage sous l’ère Obama. Cible : des hauts dirigeants, dont Angela Merkel. Auteur présumé : la NSA, avec le concours du renseignement danois.

Avec cet accord « de principe », il n’y a pas de texte officiel à se mettre sous la dent. En attendant un brouillon qui pourrait émerger en avril, Bruxelles ne donne que des morceaux choisis. En l’occurrence :

– L’engagement, côté américain, à renforcer les garde-fous applicables au SIGINT (renseignement électronique)
Probablement au moyen d’un ordre exécutif intégrant la notion de « nécessaire et proportionné ».

– Une supervision renforcée du SIGINT

– Un mécanisme de médiation à deux niveaux sur lequel Max Schrems, l’activiste autrichien à l’origine de l’invalidation du Safe Harbor et du Privacy Shield, s’interroge
Sous l’ère Privacy Shield, le mécanisme reposait sur un « coordinateur chevronné » (ombudsman ; niveau de sous-secrétaire) au département d’État. Cette fois, il s’agirait d’un « organe non judiciaire » doublé d’un « tribunal indépendant »… dont on ignore, en l’état, quels seront les référentiels.

Illustration principale © portalgda

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

15 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

15 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

18 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

21 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

21 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago