Toujours pas de socle satisfaisant pour un nouveau Privacy Shield ? Impliqué dans l’invalidation de ce dernier, Max Schrems affiche son scepticisme face à l’ordre exécutif que Joe Biden a signé le 7 octobre.
Cette directive prend le relais de celle que Barack Obama avait ratifiée en 2014. Elle est censée « améliorer les garde-fous pour les activités de renseignement électronique des États-Unis ». Et ouvrir ainsi la voie à une « décision d’adéquation ». Qui succédera au Privacy Shield et constituera une base juridique pour les flux transatlantiques de données personnelles.
Un tel scénario suppose que les USA assurent, pour lesdites données, un niveau de protection « équivalent » à celui que garantit l’UE. Dans la négative, pas de décision d’adéquation.
Les deux blocs avaient trouvé, en début d’année, un accord de principe. La publication de l’ordre exécutif côté Washington enclenche véritablement les tractations. La balle est dans le camp de la Commission européenne, qui devra tenir compte de l’avis – non contraignant – du CEPD et des États membres.
L’administration Biden avance, en particulier, un mécanisme de recours à deux niveaux pour les personnes estimant que leurs données ont fait l’objet de traitements « contraires à la loi américaine ». Au premier, un « responsable de la protection des libertés civiles » placé sous la responsabilité du directeur du renseignement national. Au deuxième, un « tribunal indépendant ». Qui, dans les grandes lignes, examinera les décisions de ce responsable ; et déterminera, en cas de violation, les remèdes à mettre en œuvre. Ses membres ne seront pas issus du Gouvernement.
Pour Max Schrems et l’association NOYB (None of Your Business) dont il est fondateur, ce « tribunal » n’en est pas un. En tout cas au sens de la Charte des droits fondamentaux de l’Union européenne, article 47 (« Droit à un recours effectif et à accéder à un tribunal impartial »). Motif : il s’agira d’un organe partie intégrante de l’exécutif américain. Donc une simple « mise à jour » du mécanisme d’ombudsman qu’incluait le Privacy Shield… et que la CJUE avait rejeté.
NOYB pointe aussi une appropriation trompeuse de deux termes : « nécessaire » et « proportionné ». Le RGPD en fait autant de conditions aux collectes de données personnelles. L’ordre exécutif les reprend, en remplacement de l’expression « aussi adapté que possible » (« as tailored as feasible ») figurant dans la « directive Obama ». Mais, estime l’association, sans en avoir la même définition que l’UE.
L’ACLU (American Civil Liberties Union) et le TACD (Trans Atlantic Consumer Dialogue), entre autres, lui font écho.
Illustration principale © PromessArt Studio
OpenAI lance son nouveau modèle GPT-4o avec une capacité de conversation vocale, une application de…
Le 3 juin 2024, Matt Garman prendra la tête d'AWS. Il succédera à Adam Selipsky,…
Workplace passera en lecture seule en septembre 2025, puis fermera en juin 2026. Retour sur…
Selon le Financial Times, la Commission européenne se prépare à déposer des accusations antitrust formelles…
OpenAI a codifié en un document (la « Model Spec ») son approche concernant le…
Vers des opérations malveillantes sous le couvert du support Dell ? L'entreprise a subi un…