Le nouveau cadre de confidentialité des données entre l’UE et les États-Unis n’est pas à la hauteur. Ce sont toutes les raisons pour lesquelles, écrivent Franziska Boehm, Sergio Carrera, Valsamis Mitsilegas et Júlia Pőcze.
La troisième fois n’était pas la bonne. Après que le Safe Harbor et le Privacy Shield ont tous deux rencontré leur créateur devant la Cour de justice de l’UE (CJUE), un nouveau rapport prédit que la dernière tentative des États-Unis d’offrir une protection adéquate aux citoyens et résidents de l’UE lorsqu’il s’agit du transfert de leurs les données pourraient être la prochaine fatalité.
Le rapport évalue le nouveau cadre de confidentialité des données (DPF) UE-États-Unis sur la base d’un « bilan de qualité » juridique qui prend en compte les critères établis par le droit de l’UE et la CJUE dans des arrêts tels que Schrems I et Schrems II.
Tout accord international de transfert de données entre la Commission européenne et des États tiers doit être strictement conforme aux principes du traité de l’UE tout en offrant aux personnes résidant dans l’UE des garanties de confidentialité qui sont essentiellement équivalentes à celles envisagées dans le RGPD et la Charte des droits fondamentaux de l’UE.
C’est ce que visaient les États-Unis avec le décret (EO) 14086, qui a reçu l’approbation de la Commission européenne suite à une décision d’adéquation.
Cependant, le DPF échoue pour quatre raisons principales.
Les citoyens européens seront-ils mieux protégés contre la surveillance des services de renseignement américains ?
Premièrement, il reste à déterminer si cela entraînera un changement significatif dans la manière dont les services de renseignement américains surveillent les citoyens européens.
Les instruments de surveillance américains tels que le décret 12333 sur les informations de renseignement électromagnétique étrangers et l’article 702 du Foreign Intelligence Surveillance Act (FISA) resteront en vigueur.
Celles-ci permettent aux autorités américaines de collecter des communications électroniques à grande échelle de non-Américains en dehors du pays à des fins de renseignement sans contrôle judiciaire individuel.
L’EO 14086 autorise explicitement la collecte massive si les acteurs du renseignement poursuivent au moins l’un des six « objectifs légitimes » répertoriés.
Ces objectifs sont trop vastes et pourraient englober de gros volumes de données. Le DPF reste également silencieux sur le recours croissant au traitement automatisé des données et à l’IA aux États-Unis.
Deuxièmement, l’EO 14096 ne définit pas de manière adéquate les termes cruciaux tels que « collecte en vrac ». Au lieu de cela, l’EO a opté pour une définition et une portée de la « collecte en masse » que la CJUE a critiquées dans l’arrêt Schrems II.
Les données collectées à des fins de sécurité nationale sont également soumises à des restrictions et à des garanties dans le cadre des transferts internationaux de données, ce qui est conforme à la jurisprudence de la CJUE sur la conservation des données.
Épreuves et les tribulations
Par ailleurs, à la suite des arrêts Schrems, l’EO 14086 introduit la notion de proportionnalité comme limite à la collecte de renseignements électromagnétiques.
Pourtant, les grandes différences entre la manière dont ce principe est interprété et appliqué dans l’UE et aux États-Unis restent sans réponse.
En vertu du droit de l’UE, tout exercice d’équilibre n’est plus envisageable lorsqu’une politique affecte « l’essence même » d’un droit fondamental. Même si ces normes ne sont pas respectées aux États-Unis, l’EO indique que les évaluations de proportionnalité ne prennent en compte que le droit américain.
Enfin, l’EO 14086 a introduit un nouveau mécanisme de recours pour fournir un recours efficace, une exigence fondamentale formulée par Schrems II.
Cependant, malgré son nom, la Cour de révision de la protection des données (DPRC) ne peut pas être considérée comme un tribunal judiciaire indépendant, condition indispensable à un procès équitable et à l’État de droit dans le système juridique de l’UE.
Il s’agit plutôt d’un organe administratif relevant du ministère américain de la Justice et directement responsable devant le président.
Les soi-disant juges examineront les plaintes individuelles dans le cadre de procédures confidentielles et unilatérales et rendront des décisions sans appel.
Comme le commissaire à la Justice Didier Reynders l’a souligné aux autorités américaines en juin 2023, les garanties juridiques que l’UE attend des pays tiers ne sont pas seulement celles par défaut au niveau de l’UE, mais devraient également être appliquées par tous les États membres.
En fait, le Parlement européen a appelé à une application plus efficace de l’acquis européen en matière de protection des données et de l’État de droit concernant les autorités nationales de renseignement.
Est-ce que tout cela est à l’épreuve de la Charte ?
Toute personne se trouvant sur le territoire de l’UE, quelle que soit sa nationalité et dont les données sont transférées vers l’UE, a droit à un recours effectif devant des tribunaux indépendants – même devant la Cour européenne des droits de l’homme.
Néanmoins, étant donné que les communautés du renseignement dans les États membres de l’UE ne relèvent pas du champ d’application de la décision d’adéquation et ne sont pas prises en compte par la CJUE lors de l’évaluation des accords de transfert de données, l’évaluation de la Commission européenne doit se concentrer sur la question de savoir si ceux-ci sont « à l’épreuve de la Charte européenne ».
Dans l’ensemble, les débats sur l’adéquation du transfert transatlantique de données ne devraient pas être un « concours de beauté » ou un exercice de pointage du doigt, car cela pourrait conduire à une course mondiale vers le bas.
Malgré les efforts sincères des négociateurs des deux côtés, les conditions clés n’ont pas été entièrement remplies. Tant que la politique américaine ne sera pas à la hauteur de ces normes, la protection offerte aux ressortissants européens aux États-Unis ne pourra pas encore susciter une confiance méritée.
La décision d’adéquation de la Commission présente des lacunes cruciales qui ont finalement permis à l’UE de donner son feu vert à un arrangement qui ne répond pas complètement aux exigences constitutionnelles de l’UE.
Le DPF étant désormais opérationnel, nous devrons attendre de voir ce que dit la CJUE si une nouvelle affaire remettait en question sa légalité.
Si cela se produit, nous espérons qu’elle ne relâchera pas ses efforts pour garantir que les citoyens et résidents de l’UE bénéficient des mêmes droits et recours que ceux dont ils disposent légitimement dans l’UE.
Cela contribuerait enfin à atténuer le sentiment de plus en plus profond que nos vies privées sont effectivement sous surveillance constante.
