Et de trois. Après le Safe Harbor et le Privacy Shield, la Commission européenne a validé le troisième cadre pour les transferts des données entre les Etats-Unis et l’Union européenne. Baptisé Data Privacy Framework (DPF), il est le fruit d’une longue discussion entre les deux parties après l’annulation par la Cour de Justice de l’Union européenne des deux accords précédents. Cette dernière avait soulevé notamment le fait que le pays destinataire dispose d’un niveau de protection de la vie privée au moins égal et adéquat à celui exigé par la législation de l’UE avec le RGPD.

Et c’est sur cette question de l’adéquation que les négociations ont eu lieu sur la mise en place de mécanismes de contrôle et de recours aux Etats-Unis pour les citoyens européens. Le président Joe Biden a signé le décret en octobre dernier « Enhancing Safeguards for United States Signals Intelligence Activities ». Il prévoit un assouplissement sur deux points, le premier est la proportionnalité de la surveillance des données et le second porte sur la capacité pour les citoyens européens d’ester en justice sur le sol américain pour défendre leurs droits sur les données personnelles. La procédure se déroulera en deux étapes. La première est confiée à un agent relevant du directeur du renseignement national et la seconde à une « Cour de révision de la protection des données » (Data Protection Review Court). Ces engagements ont été validés par les Etats-membres en fin de semaine dernière.

Max Schrems prêt à saisir à nouveau la CJUE

Si la Commission européenne se félicite de la mise en place du Data Privacy Framework, il n’en est pas de même pour le tombeur des deux autres accords, l'avocat autrichien Max Schrems. Via son association Noyb, il a indiqué que le Data Privacy Framework était « en grande partie une copie de Privacy Shield ». Et d’avertir que ce troisième accord « sera probablement renvoyé devant la Cour de justice (CJUE) dans quelques mois ». Il conteste notamment les termes vagues utilisés dans le décret américain sur l’aspect « proportionné » du FISA 702, une loi qui prévoit la surveillance de masse avec l’assistance imposée des fournisseurs de communications électroniques.

Dans le même temps, Noyb observe que le recours via la Data Protection Review Court pose problème. Celle-ci n’est pas une juridiction « au sens juridique normal de l'article 47 de la Charte ou de la Constitution américaine, mais un organe relevant du pouvoir exécutif du gouvernement américain ». Il est par ailleurs impossible de faire appel de la décision de cette instance. L’association a donc déjà plusieurs arguments contre le DPF et déclare « être prêt à déposer un recours devant la Cour de justice de l’Union européenne ». Un nouveau bras de fer commence.