Privacy Shield : un successeur déjà compromis ?

Toujours pas de socle satisfaisant pour un nouveau Privacy Shield ? Impliqué dans l’invalidation de ce dernier, Max Schrems affiche son scepticisme face à l’ordre exécutif que Joe Biden a signé le 7 octobre.

Cette directive prend le relais de celle que Barack Obama avait ratifiée en 2014. Elle est censée « améliorer les garde-fous pour les activités de renseignement électronique des États-Unis ». Et ouvrir ainsi la voie à une « décision d’adéquation ». Qui succédera au Privacy Shield et constituera une base juridique pour les flux transatlantiques de données personnelles.

Un tel scénario suppose que les USA assurent, pour lesdites données, un niveau de protection « équivalent » à celui que garantit l’UE. Dans la négative, pas de décision d’adéquation.

Les deux blocs avaient trouvé, en début d’année, un accord de principe. La publication de l’ordre exécutif côté Washington enclenche véritablement les tractations. La balle est dans le camp de la Commission européenne, qui devra tenir compte de l’avis – non contraignant – du CEPD et des États membres.

Un « tribunal » qui n’en est pas un ?

L’administration Biden avance, en particulier, un mécanisme de recours à deux niveaux pour les personnes estimant que leurs données ont fait l’objet de traitements « contraires à la loi américaine ». Au premier, un « responsable de la protection des libertés civiles » placé sous la responsabilité du directeur du renseignement national. Au deuxième, un « tribunal indépendant ». Qui, dans les grandes lignes, examinera les décisions de ce responsable ; et déterminera, en cas de violation, les remèdes à mettre en œuvre. Ses membres ne seront pas issus du Gouvernement.

Pour Max Schrems et l’association NOYB (None of Your Business) dont il est fondateur, ce « tribunal » n’en est pas un. En tout cas au sens de la Charte des droits fondamentaux de l’Union européenne, article 47 (« Droit à un recours effectif et à accéder à un tribunal impartial »). Motif : il s’agira d’un organe partie intégrante de l’exécutif américain. Donc une simple « mise à jour » du mécanisme d’ombudsman qu’incluait le Privacy Shield… et que la CJUE avait rejeté.

NOYB pointe aussi une appropriation trompeuse de deux termes : « nécessaire » et « proportionné ». Le RGPD en fait autant de conditions aux collectes de données personnelles. L’ordre exécutif les reprend, en remplacement de l’expression « aussi adapté que possible » (« as tailored as feasible ») figurant dans la « directive Obama ». Mais, estime l’association, sans en avoir la même définition que l’UE.

L’ACLU (American Civil Liberties Union) et le TACD (Trans Atlantic Consumer Dialogue), entre autres, lui font écho.

Illustration principale © PromessArt Studio