Ce nouveau cadre pour le transfert des données personnelles entre les deux pays succédera à un accord invalidé en 2020.
Après plus d’un an de négociations, Bruxelles et Washington ont fini par trouver un accord de principe sur un nouveau cadre pour le transfert des données personnelles de l’Union européenne (UE) vers les États-Unis. Annoncé le 25 mars, il intervient à la suite de l’invalidation de l’accord « Privacy Shield » (bouclier de protection des données) en 2020 par la Cour de justice européenne, qui estimait qu’il ne répondait pas aux exigences légales de l’UE.
« Le nouveau cadre transatlantique de confidentialité des données souligne notre engagement commun envers la confidentialité, la protection des données, l’état de droit et notre sécurité collective, ainsi que notre reconnaissance mutuelle de l’importance des flux de données transatlantiques pour nos citoyens, nos économies et nos sociétés respectifs », a indiqué la Maison Blanche. Il est censé favoriser les flux de données transatlantiques, qui sous-tend plus de 1 000 milliards de dollars de commerce transfrontalier chaque année, et garantir la confidentialité des informations personnelles des citoyens européens.
De nouveaux engagements pour protéger les données personnelles
L’accord comprend de nouveaux engagements concernant la protection des données personnelles. Les États-Unis se sont ainsi engagés à « renforcer les garanties de confidentialité et de libertés civiles régissant les activités de renseignement électromagnétique » du pays. Autrement dit, il s’agit de s’assurer que ces activités sont nécessaires et proportionnées à la poursuite d’objectifs de sécurité nationale définis, et qu’elles n’ont pas d’incidence disproportionnée sur la protection de la vie privée et des libertés civiles. Les agences de renseignement américaine, elles, vont adopter des mesures pour garantir une surveillance efficace des nouvelles normes de confidentialité et de libertés civiles.
Un nouveau mécanisme de recours va également être établi afin de permettre aux citoyens de l’UE de demander réparation s’ils estiment qu’ils ont été « illégalement ciblés par des activités de renseignement électromagnétique ». Ce mécanisme comprendra un tribunal indépendant qui aura pleine autorité pour statuer sur les réclamations et orienter les mesures correctives si nécessaire.
Concernant les entreprises et organisations participantes à cet accord, elles devront continuer d’adhérer aux principes de ce nouveau « Privacy Shield ». Cela inclut, par exemple, l’obligation d’autocertifier leur adhésion à ces principes par l’intermédiaire du département américain du commerce. Ce nouveau cadre permet d’ailleurs d’éclaircir le flou juridique pour les entreprises et organisations depuis l’invalidation du précédent accord. À ce sujet, Meta, propriétaire de Facebook et Instagram, avait récemment expliqué, dans un rapport, que certains de ses produits et services pourraient ne plus être disponibles en Europe si un nouveau cadre pour le transfert des données n’est pas adopté.
