Un ordre exécutif de Washington a ouvert la voie à la négociation d’un « nouveau Privacy Shield ». Certaines de ses dispositions précisent la question.
Toujours pas de socle satisfaisant pour un nouveau Privacy Shield ? Impliqué dans l’invalidation de ce dernier, Max Schrems affiche son scepticisme face à l’ordre exécutif que Joe Biden a signé le 7 octobre.
Cette directive prend le relais de celle que Barack Obama avait déposée en 2014. Elle est censée « améliorer les garde-fous pour les activités de renseignement électronique des États-Unis ». Et ouvrez ainsi la voie à une « décision d’adéquation ». Qui succèdera au Privacy Shield et constituera une base juridique pour les flux transatlantiques de données personnelles.
Un tel scénario suppose que les USA garantissent, pour les données mentionnées, un niveau de protection « équivalent » à celui qui garantit l’UE. Dans la négative, pas de décision d’adéquation.
Les deux blocs avaient trouvé, en début d’année, un accord de principe. La publication de l’ordre exécutif côté Washington a enclenché les tractations. La balle est dans le camp de la Commission européenne, qui devra tenir compte de l’avis – non contraignant – du CEPD et des États membres.
Un « tribunal » qui n’en est pas un ?
L’administration Biden avance, en particulier, un mécanisme de recours à deux niveaux pour les personnes estimant que leurs données ont fait l’objet de traitements « contraires à la loi américaine ». Au premier, un « responsable de la protection des libertés civiles » placé sous la responsabilité du directeur du renseignement national. Au deuxième, un « tribunal indépendant ». Qui, dans les grandes lignes, examine les décisions de ce responsable ; et déterminera, en cas de violation, les remèdes à mettre en œuvre. Ses membres ne seront pas issus du gouvernement.
Pour Max Schrems et l’association NOYB (None of Your Business) dont il est fondateur, ce « tribunal » n’en est pas un. En tout cas au sens de la Charte des droits fondamentaux de l’Union européenne, article 47 (« Droit à un recours effectif et à accéder à un tribunal impartial »). Motif : il s’agira d’un organe partie intégrant de l’exécutif américain. Donc une simple « mise à jour » du mécanisme d’médiateur qu’incluait le Privacy Shield… et que la CJUE avait rejeté.
NOYB pointe aussi une appropriation trompeuse de deux termes : « nécessaire » et « proportionné ». Le RGPD en fait autant de conditions aux collectes de données personnelles. L’ordre exécutif le reprend, en remplacement de l’expression « aussi adapté que possible » (« aussi adapté que possible ») figurant dans la « directive Obama ». Mais, estime l’association, sans en avoir la même définition que l’UE.
L’ACLU (American Civil Liberties Union) et le TACD (Trans Atlantic Consumer Dialogue), entre autres, lui font écho.
Illustration principale © PromessArt Studio
