6 mois d'"accord de principe", l'accord entre l'UE et les États-Unis n'a toujours pas été conclu

25 Sep 2022

Une demi-année d'annonces politiques, mais aucun accord sur les transferts de données entre l'UE et les États-Unis.

Le 25 mars 2022, au lendemain de la guerre en Ukraine, le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen ont annoncé un "accord de principe" sur les transferts de données entre l'UE et les États-Unis, malgré deux arrêts de la Cour de justice des Communautés européennes (CJCE) annulant les précédents accords "Safe Harbor" et "Privacy Shield".

L'accord politique se heurte à la réalité juridique. Malgré diverses promesses dans l'annonce initiale, des fiches d'information européennes en couleur (PDF) et des promesses dans des fiches d'information américaines en noir et blanc (lien), aucun autre résultat tangible n'a été publié au cours des six derniers mois. Au lieu de cela, des rumeurs circulent selon lesquelles les États-Unis ne fourniront pas la "Cour de révision de la protection des données" annoncée, mais au mieux une forme de tribunal exécutif, similaire au précédent médiateur du Privacy Shield, déjà rejeté par la CJUE. De même, les États-Unis reviendraient sur leur promesse de limiter la surveillance de masse américaine à ce qui est"nécessaire et proportionné". Au lieu de cela, les États-Unis introduiront un langage encore plus faible, qui permettra de poursuivre les pratiques de surveillance de masse déjà rejetées par la CJUE.

Max Schrems, plaignant dans les litiges "Schrems I" et "Schrems II" et président de noyb.eu:"A l'origine, on nous avait promis une solution parfaite pour la fin de l'année. Maintenant, nous verrons peut-être les premiers pas d'ici la fin de l'année. Ce que j'entends aussi, c'est que ces premiers pas ne sont pas des solutions, mais des pas vers un troisième accord bancal. Il est étonnant que deux démocraties qui s'accordent sur des principes tels que l'approbation judiciaire de la surveillance ne puissent pas parvenir à un accord approprié. Il semble que les États-Unis soutiennent toujours l'idée que les personnes non américaines ne devraient pas avoir de droits fondamentaux."

Les entreprises européennes et américaines continuent d'enfreindre la loi. Alors que la politique ne résout pas les problèmes actuels, les entreprises européennes et américaines se débattent avec la situation. Alors que certaines passent progressivement à des fournisseurs qui ne tombent pas sous le coup des lois de surveillance américaines, beaucoup continuent d'enfreindre le GDPR, en espérant qu'un nouvel accord remédiera à la situation. Les 101 plaintes types de noyb sur les transferts de données entre l'UE et les États-Unis ont donné quelques résultats entre-temps, puisque les autorités autrichiennes, danoises, françaises, italiennes ou européennes de protection des données ont rendu des décisions selon lesquelles Google Analytics ne peut plus être utilisé dans l'UE

Max Schrems :"Deux ans se sont écoulés depuis le deuxième arrêt de la CJUE. Si certaines autorités chargées de la protection des données ont pris des mesures individuelles sur la base de plaintes, nous manquons toujours d'un respect général de la loi et d'une application correcte. La nouvelle donne annoncée est l'un des facteurs qui refroidissent actuellement les mesures d'application."

Le nouvel accord sera probablement de retour à la CJUE Si le nouveau cadre de transfert de données entre l'UE et les États-Unis ne garantit pas une protection adéquate de la vie privée des utilisateurs, le nouvel accord sera probablement renvoyé une nouvelle fois devant la CJUE et fera l'objet d'une autre décision claire. Il serait regrettable que l'incertitude juridique actuelle, créée par la Commission européenne et le gouvernement des États-Unis, se poursuive dans le cadre d'un nouvel accord sur le transfert des données.