Cet acte intervient dans la continuité des négociations entre l’Union Européenne et les États-Unis sur le sujet sensible de la protection des données transférées vers ces derniers.

 Le 16 juillet 2020, la Cour de Justice de l’Union Européenne avait jugé que la législation américaine n’assurait pas un niveau de protection équivalent à celui offert au sein de l’Union par le Règlement 2016/679 du 27 avril 2016 (RGPD). La Cour avait en conséquence invalidé la décision d’adéquation dite « Privacy Shield ». Il revenait dès lors aux responsables de traitement de mettre en place les garanties suffisantes afin d’assurer la sécurité des données transférées vers les Etats-Unis.

Cet Executive order du 7 octobre 2022 vient donc entamer le processus législatif qui devrait, à terme, permettre à la Commission Européenne d’à nouveau accorder aux États-Unis une décision d’adéquation qui acterait d’un niveau de protection équivalent à celui de l’Union.

La principale mesure consiste en la création d’un nouvel organe au sein du Department of Justice, le Data Protection Review Court. Ce dernier permettra aux personnes concernées de directement s’opposer à l’usage de leurs données personnelles par les institutions régaliennes américaines. Un tel usage devra être restreint à des finalités de sécurité nationales restreintes et précisément définies. Il devra se conformer à  des principes de nécessité et de proportionnalité.

Le texte confère également de nouveaux pouvoirs aux agents du US Office of the Director of National Intelligence, l’organe chargé de superviser le travail de ces agences et d’investiguer d’éventuelles violations de la vie privée par ces dernières.

L’administration américaine considère que ces engagements « répondent pleinement à la décision Schrems II ». Cependant, des voix plus critiques s’interrogent déjà sur l’impact réel qu’aurait un tel texte sur les vastes pouvoirs d’investigation et de surveillance de masse dont usent les instances du gouvernement américain.

Max Schrems, président de l’ONG NOYB à l’origine de la décision ayant provoqué l’invalidation du Privacy Shield, résume ainsi l’actuel processus de négociation : « L’UE et les États-Unis sont maintenant d’accord sur l’utilisation du mot « proportionné », mais semblent ne pas être d’accord sur sa signification. En fin de compte, la définition de la CJUE prévaudra, invalidant probablement à nouveau toute décision de l’UE. La Commission européenne ferme une nouvelle fois les yeux sur le droit américain et permet la surveillance continue des Européens. »

En l’attente d’un potentiel nouvel accord entre l’UE et les États-Unis, les responsables de traitement doivent veiller à assurer la conformité de leurs transferts avec les dispositions du RGPD. Ils doivent pour cela notamment user d’outils comme les clauses contractuelles types publiées par la Commission Européenne.

Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.

Pour toute question, n’hésitez pas à nous contacter.