La contestation juridique du député français rejeté par le tribunal général de l’UE, mais les experts prédisent que la décision sera en appel.
L’accord controversé du cadre de confidentialité des données (DPF) entre l’UE et les États-Unis a été confirmé après que le tribunal général de la Cour de justice européenne (CJCE) a rejeté une contestation judiciaire de haut niveau qui l’aurait annulé.
« Le tribunal général rejette une action pour l’annulation du nouveau cadre pour le transfert de données personnelles entre l’Union européenne et les États-Unis », a statué le tribunal.
« À la date d’adoption de la décision contestée, les États-Unis d’Amérique ont assuré un niveau de protection adéquat pour les données personnelles transférées de l’Union européenne aux organisations de ce pays », a-t-il ajouté.
Même avec la possibilité d’un appel, cela sera un énorme soulagement pour la Commission européenne (CE). La défaite à ce stade l’aurait renvoyé à la planche à dessin sans rien montrer pendant une décennie de négociation douloureuse, de rédaction et de revers juridiques répétés.
Négocié en juillet 2023, l’accord DPF de l’UE-US définit les règles régissant le transfert des données personnelles des citoyens de l’UE entre l’UE et les États-Unis.
Il a été rapidement rejeté par les militants qui ont fait valoir qu’il s’agissait simplement d’une version modifiée d’un accord de transfert de données défectueux précédent, du bouclier de vie privée ou de «Schrems II», contre lequel la CJCE a jugé en 2020.
Dans les semaines suivant la publication du DPF, le député français Philippe Latombe a lancé son défi juridique, arguant qu’il n’avait pas fourni une protection adéquate aux données personnelles des citoyens de l’UE face aux inquiétudes concernant la surveillance du gouvernement américain.
Cela a créé un autre retard et plus d’incertitude pour les entreprises qui transfèrent des données aux entités américaines, dans une bataille dont les origines sont une plainte de 2013 de l’étudiant en droit Max Schrems contre Facebook et l’insuffisance de l’accord de sécurité de l’UE 2000 de l’UE avec les États-Unis.
En 2015, la CJCE a statué que Safe Harbour invalide dans une affaire baptisé «Schrems I», poursuivant une chaîne d’obstacles juridiques qui continuent de résoudre ce jour.
Amis suspects
Tout cela met en évidence la suspicion en Europe que l’approche américaine de la surveillance et de la vie privée est profondément incompatible avec le droit et les valeurs européens. Cependant, de l’avis de la Cour, les États-Unis ont depuis répondu à ces préoccupations en introduisant davantage de surveillance juridique du DPF à sa fin.
« En l’espèce, il ressort du dossier selon lequel, en vertu de la loi américaine, les activités de renseignement des signaux menées par les agences de renseignement américaines sont soumises à la surveillance judiciaire par le (Cour d’examen des données américaines) », a indiqué le jugement.
Une question clé est de savoir si l’accord atteint une «adéquation» – la mesure dans laquelle les lois américaines offrent le même niveau de protection que les équivalents de l’UE.
«Le jugement du tribunal général de l’UE d’aujourd’hui apportera une réparation et une assurance aux milliers d’entreprises américaines et à leurs partenaires européens qui s’appuient sur le cadre de confidentialité des données de l’UE-US pour les affaires transatlantiques et mondiales», a commenté Caitlin Fennessy, chef des connaissances de l’Association internationale des professionnels de la confidentialité (IAPP), une organisation américaine du commerce.
«Cette décision sera considérée comme une victoire majeure pour les flux de données transatlantiques américains et le commerce ainsi que comme un signe positif pour la longévité du cadre. Cependant, elle pensait qu’il pourrait encore y avoir de place pour un appel pour tester la question de l’adéquation.
Cette mise en garde a été repris par Chris Linnell, directeur associé de la vie privée des données chez le conseil Bridewell, qui a noté le faible record de la Commission de pouvoir obtenir ses accords avec les antérieurs américains de l’UE.
« Il convient de se rappeler que Safe Harbour et le bouclier de confidentialité sont relevés en matière de contestation judiciaire pour des motifs similaires, et les militants ont déjà signalé que de nouveaux appels étaient probables.
Un accord avec les États-Unis fait-il autant de différence?
Sans cet accord, les sociétés de l’UE devraient rédiger des contrats complexes avec les fournisseurs américains imposant des restrictions au traitement et à la manipulation des données. Exigeant des accords pour chaque transfert, cela serait coûteux et long, en supposant qu’il respecte même les normes légales étanches dans des conditions réelles.
Les entreprises adoreraient passer de cette situation déroutante, mais il pourrait être encore trop tôt pour célébrer la décision. Max Schrems, l’avocat qui a déposé la plainte initiale, campe toujours sur la question par le biais d’une ONG qu’il a fondée, aucune de vos affaires (NOYB). Il pensait que la décision du tribunal était toujours ouverte à l’appel.
« Ce fut un défi assez étroit. Nous sommes convaincus qu’un examen plus large de la loi américaine, en particulier l’utilisation des décrets de l’administration Trump, devrait produire un résultat différent », a-t-il déclaré dans un communiqué de NOYB.
«Nous examinons nos options pour soulever un tel défi. Bien que la Commission ait peut-être gagné une autre année, nous n’avons toujours aucune certitude juridique pour les utilisateurs et les entreprises», a déclaré Schrems.
