« Les données personnelles peuvent à nouveau circuler vers les sociétés américaines ! » Ah oui, vraiment, questionne le Pr. Dr. Jacques Folon. Rouvrons le dossier.

Le 10 juillet dernier, l’Union européenne instaurait un nouveau cadre légal pour le transfert de données personnelles vers les États-Unis, essentiel pour l’économie numérique. L’annonce intervenait après l’invalidation des accords précédents par la justice européenne, notamment le Privacy Shield en 2020, à cause des inquiétudes liées à la surveillance des services de renseignement américains. Ursula von der Leyen, présidente de la Commission européenne, assure que ce nouveau cadre garantira la sécurité des données pour les Européens et offrira une sécurité juridique aux entreprises. Les professionnels du secteur en doutent.

En juillet 2021, la Cour de Justice de l’Union Européenne a annulé, pour la deuxième fois, l’accord entre les Etats-Unis et l’Europe qui permettait de transférer des données personnelles vers des sociétés américaines, rappelle Jacques Folon. « La raison principale en était que les services de renseignement américains pouvaient avoir accès, et parfois de façon confidentielle à toutes les données personnelles des citoyens européens traitées par des sociétés américaines.S’en est suivie une période d’incertitude avec notamment des condamnations de certains GAFAM et même l’interdiction d’utiliser Google Analytics… »

Un certain nombre d’étapes ont suivi afin de tenter de remédier à cette incertitude juridique

• Mars 2022 : la présidente de la Commission Européenne, Madame von der Leyen et le président Biden parviennent à un accord de principe sur un nouveau cadre transatlantique de protection des données. Mais rien ne filtre sur le contenu de cet accord
• Décembre 2022 : la Commission adopte son projet de décision d’adéquation sur le cadre UE-États-Unis de protection des données.
• Mai 2023 : Résolution non contraignante du Parlement européen qui critique ce projet, nous y revenons ci-dessous.
• Février 2023 : Le Conseil européen de la protection des données adopte son avis sur le projet de décision d’adéquation.
• Juillet 2023 : Les représentants des États membres approuvent le projet de décision d’adéquation.
• Juillet 2023 : La Commission adopte sa décision d’adéquation sur le cadre UE-États-Unis de protection des données.

Habemus Papam ? Pas vraiment

La Commission européenne a donc adopté le 10 juillet 2023 sa « décision d’adéquation » sur le cadre UE-États-Unis de protection des données personnelles, qui entre en vigueur avec effet immédiat. Une décision d’adéquation considère que la réglementation de l’Etat concerné est équivalente au GDPR et que, donc, les données peuvent circuler vers cet État, comme elles le font en Europe.

« La Commission explique donc fièrement que les données à caractère personnel pourront à nouveau circuler librement et en toute sécurité entre l’UE et les entreprises américaines participantes. » Mais qu’est-ce qui a changé, questionne Jacques Folon.

• Certaines limitations d’accès par les services de renseignement américains pour protéger la sécurité nationale.
• Des contrôles seront mis en place.
• Des recours et des plaintes seront possible pour les citoyens européens.
• Une obligation d’auto-certification des sociétés américaines.

« Dès que le projet a été publié, tous les spécialistes du secteur ont précisé que celui-ci allait selon toute vraisemblance être attaqué devant la Cour de Justice et avec toutes les chances de succès quant à son annulation, commente Jacques Folon. L’ONG None of Your Business qui avait obtenu l’annulation des deux accords précédents a d’ailleurs immédiatement déclaré mettre en place les mesures nécessaires pour attaquer ce nouvel accord devant la Cour de Justice… »

Et pourtant le Parlement européen avait prévenu…

En effet, le 11 mai 2023 le Parlement européen, qu’on ne peut qualifier de complotiste ou de créateur de fake news comme le note non sans humour Jacques Folon, avait clairement rappelé, dans une déclaration officielle :

• qu’il avait déjà le 20 mai 2021, demandé à la Commission de ne pas adopter une nouvelle décision d’adéquation concernant les États-Unis, à moins que des réformes significatives ne soient introduites, en particulier à des fins de sécurité nationale et de renseignement
• que la Commission ne devrait pas laisser à la Cour de justice le soin de protéger les droits fondamentaux des citoyens de l’Union européenne à la suite de plaintes déposées par ces derniers, la Cour ayant du annuler déjà à deux reprise l’accord proposé par la Commission
• que la Commission doit évaluer si le RGPD est respecté en pratique et pas en théorie
• que la règlementation américaine n’a pas suffisamment évolué pour améliorer la protection des données personnelles des citoyens européens
• que le cadre UE-États-Unis de protection des données personnelles ne crée pas d’équivalence essentielle dans le niveau de protection
• qu’il invite la Commission à ne pas adopter la décision d’adéquation et à agir dans l’intérêt des entreprises et des citoyens de l’Union en veillant à ce que le cadre proposé fournisse une base juridique solide, suffisante et tournée vers l’avenir pour les transferts de données entre l’Union et les États-Unis ;
• qu’il s’attend à ce que toute décision d’adéquation, si elle est adoptée, soit contestée devant la CJUE
• la responsabilité de la Commission pour ne pas avoir protégé les droits des citoyens de l’Union dans le cas où la décision d’adéquation serait à nouveau invalidée par la CJUE

« On a rarement vu une condamnation aussi claire d’une décision de la Commission européenne par le Parlement Européen qui s’attend non seulement à ce que la Cour de Justice annule cette décision mais que la responsabilité de la Commission pourrait être engagée ! »

Nos données personnelles fragilisées

« Avec une certaine hypocrisie, ou en se cachant les yeux, la majorité des organisations européennes, soutenues en cela par les déclarations des sociétés américaines qui déclarent à qui veut l’entendre que tous les problèmes sont réglés, font semblant de croire que tout va bien dans le meilleur des mondes transatlantique ! »

Les professionnels du secteur, qui ont lu les déclarations du Parlement, les articles de certains experts, la prise de position de None Of Your Business, rappellent, pour leur part, le caractère fragile de cette décision. Et annoncent son annulation prochaine par la Cour de Justice.

Que peut-on en conclure ? La Commission a sans doute pris cette décision pour des raisons qui touchent plus à la politique qu’à la protection des citoyens, assure Jacques Folon. L’incertitude juridique touchant aux traitements de données par les sociétés américaines n’est pas vraiment terminée. « Devons-nous faire semblant de croire que tout va bien alors que tout indique que le transfert de données personnelles vers des sociétés américaines ne garantit pas une sécurité suffisante ? »

Il reste toujours une solution pratique : privilégier les solutions européennes lorsque c’est possible, termine Jacques Folon. « Ne serait-ce pas, d’ailleurs, le rôle de la Commission de tout tenter pour développer des alternatives européennes aux Gafam ? »