Vers un nouveau Privacy Shield : un accord de principe et des questions

Clément Bohic,
Privacy Shield question

L’UE et les États-Unis ont trouvé un « accord de principe » sur le successeur du Privacy Shield. Quels points surveiller ?

Jamais deux sans trois ? La question peut se poser à l’heure où se profile une nouvelle décision d’adéquation entre l’UE et les États-Unis. Ursula von der Leyen – présidente de la Commission européenne – et Joe Biden ont effectivement annoncé un accord de principe entre les deux blocs.

Objectif de ces tractations : encadrer les flux transatlantiques de données personnelles. Avec une garantie principale pour les citoyens européens : que leurs données bénéficient, aux USA, d'un niveau de protection « substantiellement équivalent » à celui assuré dans l'Union.
Le Safe Harbor et le Privacy Shield ont tour à tour rempli ce rôle d'encadrement. Mais la Cour de justice de l'Union européenne les a tous deux invalidés, respectivement en 2016 et en 2020.

L'invalidation du Privacy Shield a tenu, notamment, à la législation américaine sur la surveillance électronique. À travers deux éléments en particulier. D'un côté, l'article 702 du FISA (Foreign Surveillance Act). De l'autre, l'ordre exécutif (décret) 12333. Le tout à lire en combinaison avec la PPD-28, directive présidentielle de 2014 censée limiter la portée des collectes de données.

Ni l'un, ni l'autre ne correspond aux exigences minimales attachées au principe de proportionnalité, a conclu la CJUE. Avec les commentaires suivants :

- Article 702 : pas de garanties pour des personnes non américaines
- E.O. 12333 : lacune dans la protection juridictionnelle à l'égard des ingérences fondées sur ce décret
- PPD-28 : encadre de manière insuffisamment claire et précise la portée des collectes « en vrac » de données personnelles

Du « coordinateur chevronné » au « tribunal indépendant »

Washington ne paraît pas enclin à modifier cette base. Tout du moins par la voie législative (l'exécutif ne se voit semble-t-il pas passer par le Congrès). Ce qui soulève des doutes quant au niveau de contrainte juridique que portera le successeur du Privacy Shield.

L'administration Biden a déjà essuyé plusieurs échecs. Le chef d'État américain avait, entre autres, visé un accord en juin 2021, pour sa première rencontre en personne avec Ursula von der Leyen. Une visite sous haute tension, quelques jours après des révélations d'espionnage sous l'ère Obama. Cible : des hauts dirigeants, dont Angela Merkel. Auteur présumé : la NSA, avec le concours du renseignement danois.

Avec cet accord « de principe », il n'y a pas de texte officiel à se mettre sous la dent. En attendant un brouillon qui pourrait émerger en avril, Bruxelles ne donne que des morceaux choisis. En l'occurrence :

- L'engagement, côté américain, à renforcer les garde-fous applicables au SIGINT (renseignement électronique)
Probablement au moyen d'un ordre exécutif intégrant la notion de « nécessaire et proportionné ».

- Une supervision renforcée du SIGINT

- Un mécanisme de médiation à deux niveaux sur lequel Max Schrems, l'activiste autrichien à l'origine de l'invalidation du Safe Harbor et du Privacy Shield, s'interroge
Sous l'ère Privacy Shield, le mécanisme reposait sur un « coordinateur chevronné » (ombudsman ; niveau de sous-secrétaire) au département d'État. Cette fois, il s'agirait d'un « organe non judiciaire » doublé d'un « tribunal indépendant »... dont on ignore, en l'état, quels seront les référentiels.

Illustration principale © portalgda