Le Tribunal de l’UE maintient la réglementation actuelle concernant les transferts de données entre l’UE et les États-Unis. La réglementation résiste ainsi à un test qui a été fatal au Privacy Shield.
Le Tribunal de l’Union européenne a rejeté le recours en annulation du nouveau cadre transatlantique pour le transfert de données entre l’UE et les États-Unis. Selon le tribunal, les États-Unis offrent actuellement un niveau de protection adéquat pour les données personnelles.
Cette décision intervient après que le parlementaire français Philippe Latombe a contesté la validité de la décision d’adéquation de la Commission européenne, approuvée le 10 juillet 2023. Cette décision autorise le transfert de données personnelles de l’UE vers des organisations américaines sans autorisation supplémentaire.
Troisième fois…
Cette décision a été prise après que deux réglementations concernant de tels transferts ont été annulées par la justice européenne. Safe Harbor et, en 2020, Privacy Shield ne répondaient pas aux règles européennes concernant la protection des données personnelles. La décision du 10 juillet 2023 fait suite à ces cadres ratés et repose sur la création d’un organe de surveillance américain indépendant qui traite des questions de confidentialité des données : le Data Protection Review Court (DPRC).
Latombe a affirmé que le DPRC ne serait en réalité pas indépendant, car il a été mis en place par une décision présidentielle. Certains dirigeants, orange ou non, pourraient abolir ou manipuler le tribunal, craint-il.
La Commission a estimé précédemment que l’indépendance était suffisamment garantie et a donc autorisé les transferts de données. Latombe a également critiqué la possibilité pour les services de renseignement américains de collecter des données personnelles en masse, sans l’autorisation préalable d’une instance judiciaire.
Garanties suffisantes
Le Tribunal estime cependant que les règles concernant le DPRC contiennent suffisamment de garanties pour assurer que le tribunal fonctionne de manière effectivement indépendante. Ainsi, les juges ne peuvent être démis de leurs fonctions que pour des raisons valables, et ni le procureur général américain ni les services de renseignement ne peuvent influencer leur travail.
Le tribunal renvoie en outre à la surveillance continue de la Commission européenne, qui peut suspendre ou retirer la décision concernant les transferts de données si la réglementation américaine change. Si, par exemple, des juges étaient soudainement nommés pour des raisons politiques, la Commission pourrait elle-même agir.
Autorisation a posteriori également
En ce qui concerne la collecte massive de données personnelles, le tribunal constate qu’une autorisation préalable pour la collecte de données n’est pas nécessairement requise selon l’arrêt Schrems II. Cependant, un contrôle juridique doit être possible a posteriori. Le DPRC offre cette possibilité, ce qui, selon le tribunal, satisfait aux exigences européennes.
Les juges soulignent que le cadre juridique américain, y compris la décision présidentielle d’octobre 2022 et la réglementation connexe, offre une protection suffisante qui est essentiellement équivalente à celle au sein de l’UE. C’est le niveau qui doit être atteint pour des transferts de données légaux. Le tribunal rejette donc entièrement le recours.
Un recours contre la décision du Tribunal peut encore être introduit devant la Cour de justice de l’Union européenne, mais uniquement pour des motifs juridiques.