On prend les mêmes et on recommence. Après sept mois de discussions, le président américain Joe Biden a annoncé avoir signé un décret permettant d'avancer dans la mise en œuvre d'un nouveau cadre pour le transfert des données personnelles de l'Union européenne vers les Etats-Unis, crucial pour l'économie numérique. Annoncé en mars 2022, ce nouvel accord venait combler deux ans de lacunes juridiques, laissant tout le monde dans un flou problématique, à l’image de Google Analytics, considéré comme en partie hors la loi par la Cnil, du fait même des lois d’extraterritorialité américaine, permettant aux renseignements américains de venir observer les données personnelles sur tous les serveurs des sociétés américaines où qu’elles soient dans le monde.
De précédentes moutures (Le Privacy Shield et le Safe Harbour) avaient été retoquées par la Cour de justice de l'Union européenne (CJUE), saisie par l’association None Of Your Business (NOYB), respectivement en 2015 et 2020. NOYB a été montée par le désormais célèbre juriste Max Schrems, qui a laissé son nom à tous les arrêts, détricotant les accords successifs et qui n'a pas tardé à réagir.
Mécanisme de réparations
La signature du décret par le président américain va pourtant permettre à la Commission européenne de commencer son propre processus de ratification, qui devrait prendre plusieurs mois.
Quelles nouveautés ? Le texte renforce les mesures visant à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains visant les données recueillies en Europe et transférées ou hébergées outre-Atlantique. Il crée notamment un mécanisme indépendant et contraignant permettant aux individus des États éligibles de demander réparation s'ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains.
Ce mécanisme prévoit deux niveaux de recours, l'un auprès d'un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l'autre auprès d'un tribunal indépendant formé par le ministère de la Justice. «Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l'Union européenne et couvriront les transferts de données personnelles vers les États-Unis en vertu du droit de l'UE», a affirmé la secrétaire américaine au Commerce, Gina Raimondo.
Mais Max Schrems n’est pas d’accord. Le militant pour le respect de la vie privée Max Schrems a mis moins d’une heure pour réagir, et a jugé vendredi «très probable» une action en justice contre le nouveau cadre fixé pour le transfert des données personnelles de l'Union européenne vers les Etats-Unis. «Nous allons vraisemblablement attaquer (le texte) en justice», a-t-il dit évoquant une probabilité de «90%». «Nous devons d'abord l'analyser en détail, ce qui va nous prendre quelques jours. De prime abord, il semble que les questions centrales ne sont pas résolues et le dossier sera de retour devant la justice tôt ou tard», a-t-il également réagi dans un communiqué.
Autant dire que le flou n’est pas prêt de s’arrêter. Face à cela, les entreprises tentent de trouver des alternatives, ce qui relève parfois du funambulisme aigüe.