Que prévoit, entre autres, cette décision ?
Cette décision d’adéquation prévoit principalement la règle suivante : les données à caractère personnel récoltées sur le territoire européen sont en mesure de circuler en toute sécurité et ce, en direction des entreprises américaines qui participent au cadre. Une précision de taille est par ailleurs apportée puisqu’il est mentionné le fait qu’il n’est pas utile de procéder à la mise en œuvre de garanties supplémentaires eu égard à la protection des données.Ce nouveau cadre de protection des données prévoit en vérité des garanties à la fois inédites et contraignantes et ce, afin de s’inscrire dans une volonté de répondre aux diverses inquiétudes émises par les juges de la Cour de justice de l’Union européenne. Cela s’illustre non seulement par une volonté de restreindre les différents accès par les services de renseignement américains aux données des européens à ce qui est en fait strictement nécessaire et proportionné, mais aussi par la mise en place d’une cour dont la mission principale résidera dans le contrôle de la protection des données, c’est-à-dire la mise en place de la DPRC, la Data Protection Review Court. L’accès à cette cour sera garanti aux européens si ces derniers estiment que les données à caractère personnel ont été collectées ou hébergées de manière illégales. Au surplus, pour le cas où celle-ci reconnait des violations en matière de données collectées, conformément à ce qui est inscrit dans le nouvel accord, alors celle-ci pourra exiger la suppression des données collectées de manière irrégulière.
L’on voit finalement ici, comme le précise la Présidente de la Commission européenne, que les autorités américaines « ont pris des engagements sans précédent ». Reste à voir si ces engagements seront bien évidemment suivis d’effet.
S’il est indéniable que cette décision était vivement désirée par les entreprises américaines du numérique notamment, force est de constater que celle-ci ne fait pas l’unanimité notamment chez les défenseurs du respect de la vie privée…
La réglementation de la protection des données personnelles en droit français
L'invalidation du Privacy Shield et ses conséquences
Une décision qui ne fait pas l’unanimité
Cette décision prise par la Commission européenne, le 10 juillet dernier, est d’une importance capitale en ce qu’elle permet de procéder au transfert de données à caractère personnel depuis l’Union européenne en direction des Etats-Unis. Ce troisième et dernier dispositif adopté permet en effet de tels flux entre les deux continents et intervient finalement à l’effet de rassurer la justice européenne qui, souvenez-vous, avait rejeté les deux premiers soulevant principalement l’inquiétude d’une surveillance de ces données par les services de renseignement américains.Ursula von der Leyen, actuelle Présidente de la Commission européenne, s’est réjouie de cette décision qui « garantira la sécurité des flux de données » d’une part, « apportera une sécurité juridique aux entreprises [européennes et américaines] » d’autre part. Outre-Atlantique, sous la déclaration du Président Biden, cette décision constitue le miroir d’un « engagement commun » pris en faveur d’une « protection forte des données personnelles ».
Néanmoins, ces constatations étant faites, il n’en demeure pas moins que cette décision suscite des questionnements. En effet Max Schrems, dont nous avions parlé dans un précédent article, et qui est à l’origine du retoquage des deux premiers dispositifs émis par la Cour de justice de l’Union européenne, n’apparait pas non plus convaincu par ce nouveau dispositif. Selon lui, la décision en cause n’apporte pas plus de garanties à l’égard de la protection des données à caractère personnel des européens que les deux précédents dispositifs et il a fait savoir qu’il saisira de nouveau la justice européenne.
La satisfaction des sociétés du numérique
Pour leur part, les sociétés du numérique impactées par ces différents dispositifs, et finalement par cette décision, se sont réjouies de l’adoption de celle-ci, en ce qu’elles regrettaient l’absence de règles clairement définies en la matière : souvenez-vous par ailleurs l’amende record dont Meta avait fait l’objet en mai dernier lorsque l’entreprise avait été condamnée à 1,2 milliards d’euros d’amende. Cette amende faisait écho aux violations de la part de Facebook des règles en matière de protection des données personnelles européennes.Cette décision rendue le 10 juillet 2023 trouve racine dans un accord de principe qui avait été accepté entre l’Union européenne et les Etats-Unis au printemps 2022. Ce dispositif avait pour ambition première de répondre aux interrogations formulées à plusieurs reprises par la justice européenne. Cet accord de principe accède à la vie juridique par cette même décision. Comme précisé ci-dessus dans notre développement, ce nouveau dispositif juridique permet d’instaurer de nouvelles garanties tenant notamment à l’accès par les services de renseignement américains aux données effectivement collectées, sous couvert de sécurité nationale américaine, à ce qui est strictement « nécessaire [et] proportionné ».
Si de nouvelles règles ont été émises, parfois relativement contraignantes il est vrai, il n’en demeure pas moins que les acteurs concernés selon Alexandre Roure, directeur du lobby des grandes entreprises du secteur, « ont enfin la certitude de disposer d’un cadre juridique durable » et qui permet en fin de compte de procéder à de tels transferts et hébergements de données.
L’économie en général devrait également être impactée positivement et durablement selon Cecilia Bonefeld-Dahl, Directrice générale de DigitalEurope, qui considère que les entreprises du secteur seront davantage confiante « pour mener leurs activités » et que cette décision « contribuera à la croissance [des] économies [européennes et américaines] », le transfert de données étant « à la base des exportations de services de l’UE vers les Etats-Unis » pour une somme qui s’élève tout de même à mille milliards d’euros chaque année.
L'intelligence numérique et la protection des données personnelles
