L’adoption d’une nouvelle décision d’adéquation relative à l’échange des données personnelles entre l’Union européenne et les États-Unis.

Le 10 juillet dernier, la Commission européenne a adopté une décision d’adéquation en vertu de laquelle les données personnelles peuvent librement circuler entre les États membres de l’Union européenne et les organismes situés aux États-Unis.

Le contexte : l’évolution de la législation américaine relative à la protection des données personnelles 

Une telle décision fait suite à l’adoption par le président des États-Unis, Joe Biden, le 7 octobre 2022, d’un décret présidentiel intitulé « Enhancing Safeguards for United States Signals Intelligence Activities », ayant pour effet d’assurer une meilleure protection aux européens dont les données personnelles sont transférées aux États Unis.

Ce décret, dont la Commission européenne estime qu’il constitue un progrès considérable en termes de protection des données, a pour objet la mise en place de garde-fous afin de limiter l’accès aux données par les autorités américaines de renseignement, ainsi que l’établissement d’un mécanisme indépendant et impartial de gestion des réclamations relatives à l’accès aux données par ces autorités.

C’est dans ce contexte que s’inscrit la nouvelle décision d’adéquation européenne, laquelle entend tenir compte de l’évolution législative précitée, ayant permis aux États-Unis de conformer leurs normes aux exigences de l’Union en cette matière.

Désormais, il sera donc possible de transférer les données personnelles depuis l’Union européenne vers un certain nombre d’organismes agréés situés aux États-Unis, le tout sans contrainte.

Une décision contestée, bientôt renvoyée devant la Cour de justice de l’Union européenne ?

Toutefois, l’adoption de la décision par la Commission européenne est loin de faire l’unanimité.

Celle-ci s’inscrit en effet dans le sillage du Safe Harbor de 2000, et du Privacy Shield de 2016, par lesquels la Commission européenne avait déjà tenté d’autoriser la libre circulation des données personnelles de l’Union vers les États-Unis.

Ces différents accords avaient été successivement annulés par la Cour de justice de l’Union européenne, selon laquelle ces actes n’assuraient pas une protection adéquate aux citoyens européens contre la surveillance du gouvernement des États-Unis.

Or, si la Commission européenne insiste sur l’amélioration substantielle de la législation états-unienne en matière de protection des données, un certain nombre de voix conteste la véracité d’un tel constat.

Tel est notamment le cas de l’association autrichienne de défense de la vie privée None of your business et de son président Max Shrems, à l’origine des renvois du Safe Harbor et du Privacy Shield devant la CJUE, ayant conduit à leur annulation.

Le militant considère en effet que la nouvelle décision d’adéquation ne diffère que très peu des précédents accords, invalidés par le juge européen, et que la législation américaine n’assure toujours pas une protection suffisante pour permettre un échange transatlantique des données personnelles.

L’association et son président ont indiqué à cet égard qu’ils envisageaient différentes options de recours devant la Cour de justice, et s’attendaient à ce que celle-ci soit saisie au début de l’année 2024.

L’efficacité de la décision d’adéquation récemment adoptée par la Commission risque donc d’être mise en péril par l’examen de l’acte par la CJUE, à qui il appartiendra de juger si la législation américaine en matière de surveillance et de protection des données personnelles a suffisamment évolué pour qu’il soit permis de faire circuler librement les données depuis l’Union européenne vers les États-Unis.

Jonathan Elkaim – Avocat au Barreau de Paris

Lola Foucher – Juriste