Ce nouvel accord de principe en réponse à l’invalidation du Privacy Shield pose les nouvelles bases de la circulation des données entre l’UE et les USA et intervient après une année de négociation entre les parties prenantes. On y trouve des sources d’inspiration du free flow of data européen et de l’initiative Cloud Trust Principles. Selon l'EDPB-European Data Protection Board-, cet accord n'a aucune valeur juridique à ce jour.
Il semblerait que l’initiative Cloud Trust Principles ait porté ses fruits. Rappelons que cette initiative portée par les grands acteurs mondiaux du Cloud (Amazon, Google, Microsoft, IBM, SAP et Cisco) a pour objectif de travailler avec les gouvernements et institutions afin d'organiser le stockage et le traitement sécurisé des données de leurs clients.
L’enjeu économique est énorme : les flux de données transatlantiques représentant chaque année près de 900 milliards d’€.
Nouvel accord cadre EU-US
La Commission européenne et les États-Unis ont en effet annoncé le 25 mars avoir conclu un accord de principe sur un nouveau cadre transatlantique de protection des données, qui favorisera les flux de données transatlantiques et répondra aux préoccupations soulevées par la Cour de justice de l'Union européenne dans l'arrêt Schrems II de juillet 2020.
L'accord de principe va maintenant être traduit en documents juridiques.
Les engagements des États-Unis seront inclus dans un décret qui servira de base à un projet de décision d'adéquation de la Commission pour mettre en place le nouveau cadre transatlantique de protection des données.
Au titre de cet accord, les États-Unis devront mettre en place de nouvelles garanties pour s'assurer que les activités de surveillance sont "nécessaires" et "proportionnées" à la poursuite d'objectifs définis en matière de sécurité nationale ; d’établir un mécanisme de recours indépendant à deux niveaux doté d'un pouvoir contraignant permettant d'ordonner des mesures correctives ; et de renforcer la surveillance rigoureuse et hiérarchisée des activités de renseignement afin de garantir le respect des limites imposées aux activités de surveillance.
Rappelons que cet accord est le fruit de plus d'un an de négociations détaillées entre les États-Unis et l'Union européenne, menées par la secrétaire d'État au commerce, Gina Raimondo, et le commissaire à la justice, Didier Reynders.
Un accord qui n'a aucune valeur juridique.
Selon l'EDPB- European Data Protection Board- comité européen de la protection des données, cet accord politique de principe n'a pour le moment aucune valeur juridique.
Les exportateurs de données ne peuvent donc s'en prévaloir pour justifier des transferts entre l'U.E et les USA et doivent toujours prendre les garanties nécessaires en vertu de Schrems 2.
L'EDPB précise qu'il sera en charge d'évaluer le nouvel accord afin de voir s'il répond au niveau d'exigence fixée par le Règlement Général sur la Protection des Données (RGPD). Aucun calendrier n'a été fixé pour le moment.
Les flux de données transatlantiques représentent chaque année près de 900 milliards d'euros.
Ce qu’il faut retenir :
Grâce à ce nouveau cadre, les données pourraient circuler librement et en toute sécurité entre l'UE et les entreprises américaines participantes, l'UE et les entreprises américaines participantes.
Un nouvel ensemble de règles et de garanties « contraignantes » sera établi pour limiter l'accès aux données par les services de renseignement américains à ce qui est nécessaire et proportionné pour protéger la sécurité nationale.
Les agences de renseignement américaines adopteront des procédures pour assurer une surveillance efficace des nouvelles normes en matière de vie privée et de libertés civiles et des libertés civiles.
Cela impliquera la mise en place d’un nouveau système de recours à deux niveaux pour enquêter et résoudre les plaintes des Européens sur l'accès aux données par les services de renseignement américains, comprenant un tribunal de révision de la protection des données.
Cela passera par des obligations fortes pour les entreprises traitant des données transférées depuis l'UE, qui devront « autocertifier » leur adhésion aux principes par l'intermédiaire du ministère américain du Commerce.
L'EDPB sera en charge d'évaluer ce nouvel accord afin de vérifier s'il répond aux niveaux d'exigences fixés par le RGPD.
Cet accord n'a à ce jour aucune valeur juridique. Les exportateurs de données ne peuvent donc s'en prévaloir pour justifier leurs transferts de données et doivent prendre des garanties au titre de Schrems II.
Ce qu’il faut en déduire
Harmonisation des lois en matière de protection des données.
Il semblerait que l’Europe très active dans le domaine des règlementations sur les données, se soit laisser dépasser par un accord transatlantique peu contraignant pour les US et plutôt inspiré de l'U.E free flow of data.
Droit à la protection des intérêts des clients
Les fournisseurs de services cloud devraient disposer d'une procédure claire pour contester les demandes d'accès des gouvernements aux données de leurs clients, y compris la notification aux autorités compétentes en matière de protection des données. Cela passera par un système de recours à 2 niveaux, via un tribunal de révision de la protection des données, sans précision de l’autorité qui gèrera ce recours.
Soutien au flux de données transfrontaliers:
Il semblerait que les USA se soient inspirés de la loi européenne Free Flow of data, pour mieux négocier le nouvel accord cadre sur les données transatlantiques. En effet, cet loi européenne prévoit la disponibilité des données à des fins de contrôle réglementaire par les autorités publiques qui conserveront l'accès aux données, même lorsqu'elles sont situées dans un autre État membre ou lorsqu'elles sont stockées ou traitées dans Cloud.
Un accord de principe sans valeur juridique
Cet accord de principe n'a à ce jour aucune valeur juridique et par conséquent, les CSPs et exportateurs de données ne peuvent s'en prévaloir pour justifier leurs transferts de données.
Comments