Après des mois de négociations, l'Union européenne et les États-Unis ont annoncé la signature d'un nouvel accord pour le transfert des données personnelles entre les deux territoires. Après des accords retoqués, cette tentative passera-t-elle les fourches caudines de la justice ?
Deux ans que les juristes n’en pouvaient plus. L’absence de cadre juridique clair pour transférer les données des internautes sur les serveurs des entreprises américaines commençait à peser, à inquiéter. Mais Joe Biden et Ursula von der Leyen ont annoncé vendredi 25 mars avoir trouvé un accord de principe pour un nouveau texte, crucial pour l'économie numérique étant donné le nombre de services qui en dépendent… Enfin !
Cet accord « souligne notre engagement commun en faveur de la vie privée, de la protection des données et de l'État de droit », a déclaré M. Biden lors d'une conférence de presse avec Mme von der Leyen. Il « facilitera la relation économique avec l'UE qui pèse 7 100 milliards de dollars [environ 6 400 milliards d'euros] », a-t-il affirmé. La cheffe de l'exécutif européen s'est elle aussi félicitée. « Cela permettra des flux de données prévisibles et fiables entre l'UE et les États-Unis, tout en préservant la vie privée et les libertés individuelles », a-t-elle estimé. Mais rien n’indique qu’il soit encore définitif. Car personne n’en connaît encore les détails, et tout comme les précédents… il pourrait ne pas durer.
Deux arrêts
Aux origines de ces accords de transfert ? Max Schrems, l’activiste autrichien. Lui et son association None of Your Business sont à l’origine de l’invalidation du Safe Harbor, en 2015, et du Privacy Shield, en 2020, deux textes juridiques qui encadraient déjà le transfert des données entre les deux territoires. Mais deux plaintes successives ont, à chaque fois, conduit à deux arrêts, Schrems I et Schrems II, invalidant les accords trouvés. Pourquoi ? Après l’éclatement de l’affaire Snowden et la mise au jour du système de surveillance aux États-Unis, l’UE a voulu s’assurer que personne ne pouvait intercepter et fouiller les données des Européens. Condition difficile à remplir lorsque le Patriot Act donne tout pouvoir aux services secrets pour intercepter des données dès que celles-ci intègrent un serveur américain… y compris sur un serveur américain localisés géographiquement en Europe, car la loi est extra-territoriale.
Lire aussi : Enfin un accord sur le transfert des données vers les Etats-Unis
Or jamais un accord n’a réussi à prouver qu’une telle interception était impossible. Ils tombent donc, les uns après les autres, au regard de la loi… La troisième mouture suffira-t-elle ? S’il fera de nouveau plancher profondément les juristes et avocats, l'accord rassure déjà bon nombre de personnes, à commencer par les Gafa… Google s’est réjoui de cette annonce : « Nous saluons les efforts entrepris par la Commission européenne et le gouvernement américain afin de s’accorder sur un nouveau cadre US-UE et protéger les transferts de données transatlantiques», a indiqué un porte-parole. La firme était prise dans les filets de la Cnil du fait du manque d’accord, pour son service Google Analytics.
De son côté, Meta pointait du doigt depuis plusieurs années dans son rapport financier le danger que représente un changement de législation des transferts de données sur ses services en Europe. Au point de peut-être devoir les supprimer. In fine, des milliers d’entreprises européennes auraient pu être affectées. Mais il ne faut pas crier victoire trop vite.
