Les transferts de données vers les Etats-Unis rétablis. Provisoirement ?

Le cadre européen régissant les échanges de données entre l’Europe et les Etats-Unis a déjà connu plusieurs remises en cause. En 2015, le Safe Harbor était invalidé par la Cour de Justice de l’UE. Son successeur, le Privacy Shield, connaissait le même sort en 2020.

Depuis, l’Europe négociait donc avec les Etats-Unis un nouveau cadre légal pour les transferts de données personnelles. En poursuivant les échanges malgré l’invalidation du Privacy Shield, Meta était durement sanctionné (1,2 milliard d’euros).

Un cadre de protection réclamé par les entreprises

Les entreprises faisaient donc pression pour qu’un nouveau dispositif soit mis en place. C’est désormais chose faite, comme le rapporte la Cnil. Dans une décision du 10 juillet, l’exécutif européen estiment que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne.

Conséquence : « les transferts de données personnelles depuis l’UE vers certains organismes états-uniens peuvent désormais s’effectuer librement, sans encadrement spécifique. » Il n’est dès lors plus indispensable de recourir à des clauses contractuelles types ou à un autre instrument de transfert.

La Cnil rappelle que le projet de décision d’adéquation de la Commission européenne avait été soumis au préalable au Comité européen à la protection des données (CEPD). Celui-ci avait fait l’objet de la publication d’un avis le 28 février 2023.

Le comité relevait les améliorations apportées par le nouveau cadre juridique américain, mais soulignait aussi la persistance de préoccupations. Un air de déjà-vu. En effet, le Privacy Shield avait déjà fait l’objet de pareilles réserves des Cnil européennes.

Schrems promet une invalidation dès 2023

Le dernier mot revient néanmoins à la Commission, qui comme par le passé privilégie le rétablissement des transferts de données. Au risque de voir le nouveau cadre être une nouvelle fois invalidé par la CJUE.

Max Schrems, le fossoyeur du Safe Harbour et du Privacy Shield, fait d’ores et déjà savoir par l’intermédiaire de l’association NOYB qu’une action sera rapidement engagée contre le Privacy Shield 2.0.

« Le prétendu ‘nouveau’ cadre transatlantique de protection des données personnelles est en grande partie une copie du ‘bouclier de protection des données’ », dénonce l’organisation, qui prédit un retour devant la justice européenne dans quelques mois.

Le point central à l’origine de l’invalidation des deux précédents accords entre Europe et Etats-Unis persiste, considère NOYB. « Le problème fondamental de la FISA 702 n’a pas été abordé par les États-Unis, qui considèrent toujours que seuls les ressortissants américains peuvent bénéficier de droits constitutionnels », épingle-t-elle.