Vers un nouveau Privacy Shield : un accord de principe et des questions

Jamais deux sans trois ? La question peut se poser à l'heure où se profile une nouvelle décision d'adéquation entre l'UE et les États-Unis. Ursula von der Leyen - présidente de la Commission européenne - et Joe Biden ont effectivement annoncé un accord de principe entre les deux blocs.

Pleased that we found an agreement in principle on a new framework for transatlantic data flows.

It will enable predictable and trustworthy ???????? data flows, balancing security, the right to privacy and data protection.

This is another step in strengthening our partnership. pic.twitter.com/7Y0wslR7Go

- Ursula von der Leyen (@vonderleyen) March 25, 2022

Objectif de ces tractations : encadrer les flux transatlantiques de données personnelles. Avec une garantie principale pour les citoyens européens : que leurs données bénéficient, aux USA, d'un niveau de protection « substantiellement équivalent » à celui assuré dans l'Union.
Le Safe Harbor et le Privacy Shield ont tour à tour rempli ce rôle d'encadrement. Mais la Cour de justice de l'Union européenne les a tous deux invalidés, respectivement en 2016 et en 2020.

L'invalidation du Privacy Shield a tenu, notamment, à la législation américaine sur la surveillance électronique. À travers deux éléments en particulier. D'un côté, l'article 702 du FISA (Foreign Surveillance Act). De l'autre, l'ordre exécutif (décret) 12333. Le tout à lire en combinaison avec la PPD-28, directive présidentielle de 2014 censée limiter la portée des collectes de données.

Ni l'un, ni l'autre ne correspond aux exigences minimales attachées au principe de proportionnalité, a conclu la CJUE. Avec les commentaires suivants :

- Article 702 : pas de garanties pour des personnes non américaines
- E.O. 12333 : lacune dans la protection juridictionnelle à l'égard des ingérences fondées sur ce décret
- PPD-28 : encadre de manière insuffisamment claire et précise la portée des collectes « en vrac » de données personnelles

Du « coordinateur chevronné » au « tribunal indépendant »

Washington ne paraît pas enclin à modifier cette base. Tout du moins par la voie législative (l'exécutif ne se voit semble-t-il pas passer par le Congrès). Ce qui soulève des doutes quant au niveau de contrainte juridique que portera le successeur du Privacy Shield.

L'administration Biden a déjà essuyé plusieurs échecs. Le chef d'État américain avait, entre autres, visé un accord en juin 2021, pour sa première rencontre en personne avec Ursula von der Leyen. Une visite sous haute tension, quelques jours après des révélations d'espionnage sous l'ère Obama. Cible : des hauts dirigeants, dont Angela Merkel. Auteur présumé : la NSA, avec le concours du renseignement danois.

Avec cet accord « de principe », il n'y a pas de texte officiel à se mettre sous la dent. En attendant un brouillon qui pourrait émerger en avril, Bruxelles ne donne que des morceaux choisis. En l'occurrence :

- L'engagement, côté américain, à renforcer les garde-fous applicables au SIGINT (renseignement électronique)
Probablement au moyen d'un ordre exécutif intégrant la notion de « nécessaire et proportionné ».

- Une supervision renforcée du SIGINT

- Un mécanisme de médiation à deux niveaux sur lequel Max Schrems, l'activiste autrichien à l'origine de l'invalidation du Safe Harbor et du Privacy Shield, s'interroge
Sous l'ère Privacy Shield, le mécanisme reposait sur un « coordinateur chevronné » (ombudsman ; niveau de sous-secrétaire) au département d'État. Cette fois, il s'agirait d'un « organe non judiciaire » doublé d'un « tribunal indépendant »... dont on ignore, en l'état, quels seront les référentiels.

(ii) Some non-judicial body plus a 'Court' where you can complain to. Will be very interesting what the rules on access, standing, state secrets and alike will be with this 'Court' and if it is like the FISA Court or more.

Looking forward to see more than two bullet points.. 😉

- Max Schrems ???? (@maxschrems) March 25, 2022

Illustration principale © portalgda