Le président américain Joe Biden a signé vendredi un décret permettant d’avancer dans la mise en œuvre d’un nouveau cadre pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis, crucial pour l’économie numérique. Washington et Bruxelles avaient trouvé en mars un accord de principe sur ce dossier de longue date, de précédentes moutures ayant été retoquées par la Cour de justice de l’Union européenne (CJUE) en raison de craintes sur les programmes de surveillance américains.

Le commissaire européen à la Justice Didier Reynders a salué l’événement: «Cette signature marque une étape importante dans notre détermination à rétablir des flux de données transatlantiques sûrs et libres», a tweeté le responsable belge.

La signature du décret par le président américain va permettre à la Commission européenne de commencer son propre processus de ratification, qui devrait prendre plusieurs mois. «Il s’agit de l’aboutissement de nos efforts conjoints pour restaurer la confiance et la stabilité des flux de données transatlantiques», a commenté la secrétaire américaine au Commerce, Gina Raimondo, lors d’un briefing avec des journalistes.

Lire aussi: Genève, pionnier pour le respect de l’intégrité numérique

Deux niveaux de recours

Le texte renforce les mesures visant à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains visant les données recueillies en Europe et transférées ou hébergées outre-Atlantique. Il crée également un mécanisme indépendant et contraignant permettant aux individus des États éligibles de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains.

Ce mécanisme prévoit deux niveaux de recours, l’un auprès d’un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l’autre auprès d’un tribunal indépendant formé par le ministère de la Justice. «Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l’Union européenne et couvriront les transferts de données personnelles vers les États-Unis en vertu du droit de l’UE», a affirmé Gina Raimondo.

En juillet 2020, la Cour avait estimé que le «Privacy Shield», utilisé par 5000 entreprises américaines, dont les géants comme Google ou Amazon, ne protégeait pas de possibles «ingérences dans les droits fondamentaux des personnes dont les données sont transférées». L’affaire avait été lancée par une plainte contre Facebook de Max Schrems, figure de la lutte pour la protection des données, déjà à l’origine de l’arrêt de 2015 sur l’ancêtre du «Privacy Shield», «Safe Harbor».

Lire aussi: Max Schrems: «Ne renonçons jamais à faire respecter nos droits»

Une action en justice «très probable» pour Max Schrems

Il est possible que la nouvelle version soit de nouveau attaquée en justice, ont reconnu des responsables de l’administration américaine lors du briefing. Mais elle a été conçue pour répondre aux précédentes réserves de la justice européenne, ont-ils assuré. La décision de la CJUE avait plongé dans le flou juridique les entreprises opérant dans l’UE qui transfèrent ou font héberger des données outre-Atlantique. Elles ont depuis eu recours à des solutions alternatives, à la légalité plus incertaine, pour continuer ces transferts, dans l’attente d’un système plus solide et pérenne.

Max Schrems a de son côté jugé vendredi «très probable» une action en justice contre le nouveau cadre fixé pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis. «Nous allons vraisemblablement attaquer (le texte) en justice», a-t-il dit à l’AFP, évoquant une probabilité de «90%». «Nous devons d’abord l’analyser en détail, ce qui va nous prendre quelques jours. De prime abord, il semble que les questions centrales ne sont pas résolues et le dossier sera de retour devant la justice tôt ou tard», a-t-il également réagi dans un communiqué.

«La surveillance de masse va continuer (…) A la fin, l’opinion de la CJUE l’emportera - et tuera une nouvelle fois cet accord», a prédit Max Schrems. «La Commission européenne ferme les yeux sur la loi américaine, permettant la poursuite de l’espionnage des Européens», a-t-il fustigé. Le militant est également sceptique envers la création d’un mécanisme indépendant et contraignant permettant aux individus des États éligibles de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains. «Il est clair que ce soi-disant tribunal n’est pas un vrai tribunal», a-t-il commenté.

Lire aussi: En Suisse, la sécurité de nos communications est en danger