L’UE et les États-Unis parviennent à un accord pour permettre aux données de traverser l’Atlantique
BRUXELLES L’Union européenne a approuvé lundi un nouvel accord permettant aux entreprises de transférer librement des données entre l’UE et les États-Unis, mettant potentiellement fin à trois ans de vide juridique pour les géants de la technologie tels que Facebook et Google.
La Commission européenne a officiellement reconnu les États-Unis comme un pays offrant une protection suffisante pour les données personnelles des Européens, en adoptant une décision dite d’adéquation en vertu de sa loi historique sur la protection de la vie privée, le règlement général sur la protection des données.
L’accord, connu sous le nom de cadre de confidentialité des données UE-États-Unis, ouvre la voie à des échanges de données transatlantiques lucratifs après que le plus haut tribunal de l’UE en 2020 a annulé l’accord précédent du gouvernement sur les données, connu sous le nom de Privacy Shield, par crainte que les agences de renseignement américaines aient trop de marge de manœuvre espionner les données personnelles des Européens.
Les enjeux du succès sont élevés : selon la Maison Blanche, les flux de données transatlantiques sous-tendent 7 100 milliards de dollars d’activités économiques, et des milliers d’entreprises font des affaires sur les deux continents.
Aujourd’hui, nous franchissons une étape importante pour donner confiance aux citoyens quant à la sécurité de leurs données, pour approfondir nos liens économiques entre l’UE et les États-Unis, et en même temps pour réaffirmer nos valeurs communes, a déclaré la présidente de la Commission, Ursula von der Leyen.
La décision de lundi marque la fin de négociations complexes et de longue haleine qui ont atteint la Maison Blanche. Pour ouvrir la voie à l’accord, Le président américain Joe Biden a publié en octobre 2022 un décret visant à empêcher les agences de renseignement américaines telles que la National Security Agency (NSA) d’accéder aux informations numériques des Européens et à créer des recours meilleurs et plus indépendants pour les Européens.
Le ministère américain de la Justice a annoncé la semaine dernière qu’il avait finalisé son engagement en vertu du décret exécutif. Une nouvelle Cour de révision de la protection des données permettre aux résidents européens de porter plainte contre les agences américaines s’ils estiment que leurs données n’ont pas été collectées de manière nécessaire et proportionnée pour la sécurité nationale.
L’accord, cependant, ne met pas nécessairement fin au drame de longue date. Max Schrems, le militant de la protection de la vie privée qui a intenté des poursuites ayant conduit à l’annulation des deux pactes de données précédents, a déclaré qu’il contesterait probablement le nouvel accord devant les tribunaux d’ici la fin août. Il s’attend à ce que sa plainte parvienne à la Cour européenne de justice au début de 2024.
La Cour de justice européenne a annulé deux précédents accords Privacy Shield et un accord de 2000 appelé Safe Harbor sur les craintes d’espionnage des agences de renseignement américaines, révélé par Edward Snowden et d’autres.
Schrems a déclaré que le nouvel accord n’offrait pas aux Européens des protections adéquates, même avec les modifications de la politique américaine en matière de données. Nous aurions besoin de modifications de la loi américaine sur la surveillance pour que cela fonctionne et nous ne l’avons tout simplement pas, a déclaré Schrems. Il y a même des parties qui sont pires qu’avant, par exemple, à des fins de surveillance de masse maintenant [include] changement climatique et crise sanitaire internationale.
Les responsables, cependant, étaient optimistes que cette fois, l’accord résisterait à l’examen des tribunaux.
Ce nouveau cadre est sensiblement différent du bouclier de protection des données UE-États-Unis, a déclaré lundi le commissaire à la justice Didier Reynders. Au moment de décider si et dans quelle mesure les agences de renseignement américaines doivent accéder aux données, elles seront tenues de mettre en balance les mêmes facteurs que ceux requis par la jurisprudence de la Cour de justice de l’UE.
Les entreprises technologiques ont largement salué l’accord, en particulier Meta, qui espère que les données européennes continueront d’être transmises à ses serveurs américains après que le régulateur irlandais de la protection de la vie privée a invalidé en mai son dernier recours légal pour le faire via des clauses contractuelles standard.
Nous nous félicitons du nouveau cadre de confidentialité des données, qui protégera les marchandises [and] services sur lesquels comptent les particuliers et les entreprises des deux côtés de l’Atlantique, a déclaré Nick Clegg, président de Metas pour les affaires mondiales.
La société américaine avait précédemment averti que si un nouvel accord de transfert de données n’était pas conclu avant la mi-octobre, elle devrait fermer des services comme Facebook et Instagram en Europe. Meta combat actuellement la décision des régulateurs de données irlandais devant un tribunal en Irlande.
Le comité européen de la protection des données (EDPB), un réseau paneuropéen de surveillance de la vie privée, a déclaré que le nouvel accord montrait des améliorations substantielles par rapport aux pactes précédents, mais manquait encore de certaines garanties. Le Parlement européen s’est opposé au nouveau pacte, arguant qu’il autorisait toujours une collecte massive de données personnelles et incluait des protections insuffisantes pour la vie privée des Européens. (Les avis du CEPD et du Parlement européen ne sont pas contraignants et ne peuvent pas faire dérailler l’accord.)
Une majorité de pays de l’UE ont également donné leur soutien officiel la semaine dernière, avec 24 capitales inconnues en faveur et trois abstentions, selon un compte rendu du vote.
La Commission européenne réexaminera le cadre UE-États-Unis sur la protection des données dans un délai d’un an, puis tous les quatre ans, afin de vérifier si les nouvelles garanties américaines en matière de confidentialité pour les Européens sont efficaces.
« Il y a eu une réforme importante de la législation et des pratiques américaines en matière de garanties de surveillance, a déclaré Joe Jones, directeur de la recherche et des idées pour l’Association internationale des professionnels de la vie privée. Il ne s’agit pas d’un réchauffement du cadre qui a été invalidé dans Schrems II. . Mais la question est : est-ce assez bon ? »
Alfred Ng a contribué aux reportages de New York.
Cet article a été mis à jour.
pl_facebook_pixel_args = [];
pl_facebook_pixel_args.userAgent = navigator.userAgent;
pl_facebook_pixel_args.language = navigator.language;
if ( document.referrer.indexOf( document.domain ) < 0 )
pl_facebook_pixel_args.referrer = document.referrer;
!function(f,b,e,v,n,t,s)
if(f.fbq)return;n=f.fbq=function()n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments);
if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertBefore(t,s)(window, document,'script',
'https://connect.facebook.net/en_US/fbevents.js');
fbq( 'consent', 'revoke' );
fbq( 'init', "394368290733607" );
fbq( 'track', 'PageView', pl_facebook_pixel_args );
if ( typeof window.__tcfapi !== 'undefined' ) {
window.__tcfapi( 'addEventListener', 2, function( tcData, listenerSuccess ) {
if ( listenerSuccess ) tcData.eventStatus === 'tcloaded' )
__tcfapi( 'getCustomVendorConsents', 2, function( vendorConsents, success )
if ( ! vendorConsents.hasOwnProperty( 'consentedPurposes' ) )
return;
const consents = vendorConsents.consentedPurposes.filter(
function( vendorConsents )
return 'Create a personalised ads profile' === vendorConsents.name;
);
if ( consents.length === 1 )
fbq( 'consent', 'grant' );
);
});
}