Dans le cadre de sa décision d’adéquation, la Commission européenne a défini comment, selon elle, devrait avoir lieu le futur échange de données entre l’Union européenne et les États-Unis. Il est possible que nous soyons désormais sur la dernière ligne droite vers le nouveau Privacy Shield.
Le nouveau Privacy Shield arrive-t-il enfin ?
Depuis la fin du Privacy Shield il y a quelques années, les entreprises technologiques américaines comme Meta et Google se voient régulièrement infliger des amendes de la part de l’UE. Ce n’est pas seulement le droit de la concurrence qui retient l’attention des autorités. Il s’agit plutôt de l’analyse des données des citoyens de l’UE sur des serveurs américains. Afin d’assurer plus d’uniformité, le président américain Joe Biden a fait de la nouvelle édition du Privacy Shield une priorité absolue. Ce faisant, les deux parties contractantes potentielles misent sur la communication. Ils se sont déjà rencontrés en mars de cette année pour discuter en détail du contenu d’un successeur à l’accord sur la protection des données.
Le public peut désormais avoir un premier aperçu de la copie préparée par la Commission européenne. La commission a informé le public du projet le 13 décembre 2022. Dans le cadre d’une communication, l’organisme a indiqué que le renouvellement ne visait pas seulement à promouvoir « des flux de données transatlantiques sécurisés ». De plus, le contenu contesté dans la soi-disant « décision Schrems II » aurait été révisé. L’arrêt de la Cour de justice de l’Union européenne (CJUE) a sonné le glas du Privacy Shield dans sa formulation originale.
Unanimité avec les USA
L’élaboration de la Commission européenne est comparable à un décret signé par le président américain Biden en octobre. Par conséquent, il semble désormais y avoir un accord commun sur le niveau de protection des données qui devrait prévaloir lors de l’échange de données entre l’UE et les États-Unis. Les entreprises américaines, en particulier, devraient être satisfaites du dénominateur commun. Après tout, Meta et Google, entre autres, réclament depuis longtemps qu’un Privacy Shield soit enfin rétabli. Un changement important par rapport au prédécesseur est l’obligation de suppression, qui doit trouver sa place dans la nouvelle version. Désormais, les données personnelles doivent être supprimées si la finalité pour laquelle elles ont été collectées ne s’applique plus. En outre, la protection des données doit être maintenue même si les données sont transmises à des tiers.
Coup de départ pour la décision d’adéquation
Le projet de la Commission européenne est aussi, pour ainsi dire, le signal de départ du test d’adéquation au sein de l’UE. Ce faisant, le projet est d’abord soumis au Comité européen de la protection des données (EDSA). En parallèle, il faut inclure l’opinion de tous les membres de l’UE. Ceux-ci doivent accepter la rédaction de la Commission européenne. À la fin du processus se trouve la décision dite d’adéquation, qui représente à son tour le compromis entre les organes de l’UE. Une fois que cela sera en place, il appartiendra à nouveau à la Commission européenne de l’approuver.
Cela signifie que le Privacy Shield 2.0 pourrait éventuellement entrer en vigueur en 2023. Eco, une association du secteur informatique, s’en réjouit également. La déclaration d’Eco montre que Meta et Google ne seront pas les seuls à bénéficier d’une réglementation uniforme de l’échange sécurisé de données. En outre, « pour de nombreuses petites et moyennes entreprises en Europe, un échange de données juridiquement sécurisé au niveau international constitue la base de leurs modèles commerciaux axés sur les données et d’une transformation numérique réussie ».
Nouvelle procédure de plainte pour les citoyens de l’UE
Un problème qui a rendu impossible l’application ultérieure du premier Privacy Shield était les possibilités d’accès des agences de renseignement américaines. Si les données des citoyens de l’UE étaient envoyées aux serveurs d’entreprises américaines, elles pourraient par exemple être utilisées par la Central Intelligence Agency (CIA). Cependant, l’accès n’est pas vraiment exclu, même dans la nouvelle version. Après tout, il existe un droit à l’utilisation des données dans le cadre de la surveillance de masse.
Toutefois, l’accès aux données doit être approprié et dans un but justifiable. En outre, les citoyens de l’UE auront désormais la possibilité de déposer une plainte contre la collecte de données. Les États-Unis souhaitent créer des bureaux de plaintes et des tribunaux spéciaux pour trancher les affaires. Si des données ont été collectées à tort, ces organismes le détermineront au cours d’une procédure en deux étapes.
Une nouvelle décision Schrems est-elle imminente ?
L’arrêt Schrems II évoqué au début ne porte pas son nom sans raison. Le nom donné est l’avocat autrichien et expert en protection des données Max Schrems. Ce militant et d’autres ont déjà résisté avec succès à la version originale du Privacy Shield. En octobre, Schrems, en sa qualité de président de l’organisation Nyob, avait déjà critiqué le décret du président américain Biden. Selon lui, un nouveau Privacy Shield ne peut résister à un autre arrêt négatif de la CJCE que s’il ne s’appuie pas sur le décret américain. Nous sommes curieux de voir si nous pouvons réellement nous attendre à un nouveau Privacy Shield l’année prochaine. Ce qui est certain, c’est qu’il est temps d’adopter une réglementation fiable et équitable sur l’échange de données entre l’UE et les États-Unis.
Jeu de briques
Snake
Pacman
Bubble