Le président américain Joe Biden a signé vendredi un décret permettant d’avancer dans la mise en oeuvre d’un nouveau cadre pour le transfert des données personnelles de l’Union européenne vers les Etats-Unis, crucial pour l’économie numérique.

Washington et Bruxelles avaient trouvé en mars un accord de principe sur ce dossier de longue date, de précédentes moutures ayant été retoquées par la Cour de justice de l’Union européenne (CJUE) en raison de craintes sur les programmes de surveillance américains.

La signature du décret par le président américain va permettre à la Commission européenne de commencer son propre processus de ratification, qui devrait prendre plusieurs mois. « Il s’agit de l’aboutissement de nos efforts conjoints pour restaurer la confiance et la stabilité des flux de données transatlantiques », a commenté la secrétaire américaine au Commerce, Gina Raimondo, lors d’un briefing avec des journalistes.

Le texte renforce les mesures visant à garantir la confidentialité et la protection des libertés civiles dans les programmes de surveillance américains visant les données recueillies en Europe et transférées ou hébergées outre-Atlantique.

Il crée également un mécanisme indépendant et contraignant permettant aux individus des États éligibles de demander réparation s’ils estiment que leurs données personnelles ont été illégalement collectées par les renseignements américains.

Ce mécanisme prévoit deux niveaux de recours, l’un auprès d’un officier chargé de la protection des libertés civiles auprès de la direction du renseignement américain, l’autre auprès d’un tribunal indépendant formé par le ministère de la Justice.

« Ces engagements répondent pleinement à la décision Schrems II de la Cour de justice de l’Union européenne et couvriront les transferts de données personnelles vers les États-Unis en vertu du droit de l’UE », a affirmé Mme Raimondo.

« Privacy Shield »

En juillet 2020, la Cour avait estimé que le « Privacy Shield », utilisé par 5.000 entreprises américaines, dont les géants comme Google ou Amazon, ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données sont transférées ». L’affaire avait été lancée par une plainte contre Facebook de Max Schrems, figure de la lutte pour la protection des données, déjà à l’origine de l’arrêt de 2015 sur l’ancêtre du « Privacy Shield », « Safe Harbor ».

Il est possible que la nouvelle version soit de nouveau attaquée en justice, ont reconnu des responsables de l’administration américaine lors du briefing. Mais elle a été conçue pour répondre aux précédentes réserves de la justice européenne, ont-ils assuré.

La décision de la CJUE avait plongé dans le flou juridique les entreprises opérant dans l’UE qui transfèrent ou font héberger des données outre-Atlantique. Elles ont depuis eu recours à des solutions alternatives, à la légalité plus incertaine, pour continuer ces transferts, dans l’attente d’un système plus solide et pérenne.