INTERVIEW – La publication d’un texte de loi formalisant l’accord de principe sur l’utilisation des données personnelles entre l’UE et les Etats-Unis est en bonne voie, même si les questions juridiques demeurent complexes, nous a déclaré au FIC 8 juin 2022 Margrethe Vestager, la vice-présidente exécutive de l’Europe.
« Les négociations entre l’UE et les Etats-Unis sont terminées sur le futur Privacy Shield mais cela reste un accord de principe. La prochaine étape est de mettre en place un ordre exécutif afin de pouvoir changer concrètement la situation sur l’utilisation des données personnelles européennes aux Etats-Unis », nous a déclaré Margrethe Vestager le 8 juin 2022 à Lille lors du salon International Cybersecurity Forum (FIC).
« L’obtention d’un Privacy Shield est une priorité pour de nombreuses organisations »
La vice-présidente exécutive de l’Europe se déclare confiante dans la publication, très probablement au second semestre 2022, d’un premier texte de loi à présenter au vote du Parlement européen. Il formalisera l’accord de principe sur l’utilisation des données personnelles conclu en mars 2022 entre l’UE et les Etats-Unis. « Nous en sommes en contact étroit avec les Américains afin d’aboutir sur ce texte car c’est une priorité pour de nombreuses organisations qui veulent pouvoir permettre aux données de voyager à nouveau » précise Margrethe Vestager. Toutefois, compte-tenu de la lenteur du parcours administratif pour obtenir une véritable « décision d’adéquation », la mise en application de ce nouveau « Privacy Shield » n’interviendra probablement pas avant 2023.
« Les Américains doivent aussi respecter les décisions de la Cour de Justice Européenne »
« Je ne connais pas la date exacte de publication du texte car le niveau de complexité juridique est très élevé et nos responsables techniques ont encore beaucoup de travail à réaliser pour le finaliser » reconnaît Margrethe Vestager. « D’autant que si nous voulons respecter la situation aux Etats-Unis, les Américains doivent aussi respecter les décisions de la Cour de Justice de l’Union Européenne sur l’utilisation des données personnelles basées aujourd’hui sur le jugement Schrems 2, qui est fondé sur la liberté des droits fondamentaux des individus. Ce nouvel accord Privacy Shield devra bien les respecter » insiste-t-elle.
C’est d’autant plus important que plusieurs organisations européennes, dont celle de Max Schrems, le président honoraire de Noyb et principal plaideur dans les affaires Schrems devant la Cour de Justice de l’Union Européenne (CJUE), ont déjà annoncé qu’elles contesteront à nouveau tout accord Privacy Shield qui violerait les lois européennes.
Vers un Privacy Shield 2 ou 3 ?
Alors parle-t-on ici de Privacy Shield 2 ou 3 finalement ? « C’est le troisième en fait car nous avons déjà les accords Schrems 1 et 2 » indique Margrethe Vestager. Effectivement, suite aux contestations émises notamment par l’autrichien Max Schrems, les précédents accords ont échoué deux fois à passer le test de la CJUE. L’arrêt « Schrems II » de la CJUE avait déjà invalidé le Privacy Shield en juillet 2020.
En mars 2022, Max Schrems était guère optimiste quant aux chances de conclure rapidement un accord sur un Privacy Shield 3 : « Nous avons déjà eu un accord purement politique en 2015 qui n’avait aucune base juridique. D’après ce que vous entendez, nous pourrions jouer le même jeu une troisième fois maintenant. L’accord était apparemment un symbole voulu par Mme von der Leyen, mais il ne bénéficie pas du soutien des experts à Bruxelles, car les États-Unis n’ont pas bougé ».
Même prudence du côté du Conseil européen de la protection des données (EDPB), l’organisme européen qui supervise toutes les agences européennes de protection des données, dont la Cnil française. S’il se félicitait dès avril 2022 d’un accord politique sur un futur Privacy Shield, il attend maintenant des propositions concrètes de la Commission européenne et des Etats-Unis avant de prendre position. L’EDPB rappelle aussi que le RGPD impose à la Commission européenne de lui demander son avis avant d’adopter une nouvelle décision d’adéquation ou une directive reconnaissant par exemple comme satisfaisant le niveau de protection des données garanti par les autorités américaines.