En 2000 entrait en vigueur le Safe Harbor remplacé en 2016 par le Privacy Shield, deux accords portant sur le transfert des données personnelles entre l’Union Européenne et les États-Unis, et la garantie d’une protection adéquate aux États-Unis. Ces deux accords ont été contestés par l’avocat autrichien Max Schrems, et invalidés par la Cour de Justice de l’UE respectivement en 2015 et 2020 à travers les arrêts Schrems I et II.
Si les transferts de données vers les États-Unis ont continué après l’invalidation du Privacy Shield, c’est en grande partie en raison du manque d’alternatives européennes. Un grand nombre d’entreprises et de particuliers dépendent en effet des GAMMA (anciennement GAFAM) aujourd’hui.
Le 10 juillet 2023, la Commission européenne a validé le nouvel accord de transfert des données transatlantique, le « Data Privacy Framework », contre l’avis du Parlement. Si Max Schrems s’est dit prêt à contester ce nouveau cadre, c’est le député français Philippe Latombe, connu pour son engagement politique sur les questions de souveraineté numérique, qui a agi le premier, en saisissant la Cour de Justice de l’UE en qualité de simple citoyen. Celui-ci dénonce un accord qu’il estime moins protecteur que le RGPD. Selon lui, les données des citoyens européens transférées outre-Atlantique ne bénéficieraient pas du même niveau de protection que dans l’Union Européenne. Cependant, la Cour de Justice de l’UE a rejeté son référé pour défaut d’urgence[1].
Si la recherche d’une véritable préservation des droits des citoyens européens est louable, on peut s’interroger sur les conséquences qu’aurait une invalidation de ce troisième accord. En effet, l’invalidation signifie que les accords sont réputés ne jamais avoir existé. Par conséquent, les données qui ont transité de l’Union Européenne vers les États-Unis pendant cette période l’auraient fait de manière illégale, à défaut d’avoir bénéficié de mesures spécifiques rendant le transfert valide (BCR, consentement de la personne concernée, mesure techniques additionnelles…).
En parallèle de la recherche d’un cadre adéquat pour le transfert des données vers les États-Unis, une stimulation de l’investissement et de la recherche fondamentale dans le numérique est indispensable à l’échelle européenne pour permettre l’émergence d’acteurs de substitution et ainsi réduire notre dépendance à des acteurs extra-européens.
[1] Rejet du référé https://curia.europa.eu/juris/document/document.jsf?text=&docid=278542&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=225583
