Le président américain Joe Biden a signé, ce vendredi 7 octobre 2022, le décret destiné à mettre en oeuvre l'accord de principe signé le 25 mars dernier avec la Commission européenne, en apportant certaines garanties aux activités de surveillance américaine (voir Transferts de données personnelles : USA vs UE, épisode 3). Très attendu par les entreprises, il devait mettre un terme à cette période de grande incertitude consécutive à l'invalidation du Privacy Shield en 2020 par la Cour de justice de l'Union européenne (1) (CJUE) (voir L'affaire Schrems n'en finit pas de faire des vagues). (2)

L'arrêt Schrems II de la CJUE a précisé les deux conditions à remplir pour que le nouvel accord puisse satisfaire le droit européen.

1ère condition : la surveillance américaine doit être « proportionnée » et « nécessaire » au sens de l'article 52 de la Charte des droits fondamentaux.

Dans cet objectif, le décret présidentiel prévoit :
- Le renforcement du contrôle des activités des agences de renseignement, en exigeant notamment qu'elles soient menées de manière proportionnées et nécessaires, en vue de la réalisation d'objectifs de sécurité nationale définis, et qu'elles prennent en considération la vie privée et les libertés civiles de toutes personnes ;
- L'obligation de traiter les données personnelles collectées par les agences de renseignement de manière proportionnée après une évaluation des facteurs pertinents au regard des objectifs poursuivis ;
- La mise en conformité des politiques et procédures des agences de renseignement afin de respecter les nouvelles règles édictées en termes de vie privée et de libertés civiles.
- L'examen par le Privacy and Civil Liberties Oversight Board des politiques et procédures des agences de renseignement américaines, afin de s'assurer qu'elles soient conformes au décret, ainsi que l'examen annuel du mécanisme de recours.

Si le décret mentionne bien les termes « proportionné » et « nécessaire » (Sec. 2 Signals Intelligence Activities), on note cependant que le système de surveillance de masse aux États-Unis demeure possible dans certaines conditions. Il faut admettre qu'il est probable que la surveillance de masse se poursuive et que les données des citoyens européens soient stockées dans des programmes de surveillance tels que Upstream ou PRISM.

2ème condition : l'accès à un recours indépendant et contraignant doté d'un double niveau juridictionnel, au sens de l'article 47 de la Charte de l'Union européenne, c'est-à-dire garantissant le droit à un recours effectif et à accéder à un tribunal impartial.
Le décret prévoit un mécanisme juridictionnel en deux étapes :
- La première et confiée à un agent sous la direction du Director of National Intelligence qui mènera une première enquête sur les plaintes reçues ;
- La seconde à une Data Protection Review Court (DPRC) qui procédera à un examen indépendant et contraignant des décisions prises par l'agent.

Cependant, on peut constater qu'il ne s'agit pas à proprement parler d'une juridiction. En effet, la DPRC s'apparente davantage à un organe relevant du pouvoir exécutif américain qu'à une véritable Cour. Par ailleurs, le dispositif n'apporte pas de précisions sur la possibilité de faire appel.

Il semble donc que le dispositif envisagé ne réponde pas à toutes les exigences de la Commission européenne. Maximilian Schrems est déjà mobilisé pour critiquer et attaquer la future décision d'adéquation qui pourrait être adoptée à la suite de ce nouveau texte. En effet, dans l'hypothèse où Meta déciderait de transférer des données personnelles vers les États-Unis dans le cadre de cette décision d'adéquation, la Data Protection Commission (DPC) irlandaise doit s'attendre à une nouvelle plainte de l'activiste.

Désormais, il appartient à la Commission européenne de constater, par une décision d'adéquation, que le texte garantit bien un niveau de protection « adéquat ».

C'est dire que le processus est encore en cours et qu'une suite est à prévoir.
Ce n'est donc pas le dernier épisode de la série !

(1) CJUE, 16 juill. 2020, aff. Data Protection Commissioner c/ Facebook Ireland Ltd et Maximilian, Schrems.
(2) Le Privacy Shield ayant lui-même été adopté dans la suite de l'invalidation du Safe Harbor en 2015 par la CJUE (CJUE, 6 oct. 2015, aff., Maximilian Schrems c. Digital Rights Ireland Ltd).