En juillet 2023, la Commission européenne a officiellement présenté sa décision d’adéquation qui adopterait le cadre UE-États-Unis de protection des données personnelles. Ce cadre permet de mieux relier les organisations européennes et américaines qui optent pour le partage des données, en les rendant responsables devant la Federal Trade Commission et le ministère américain du commerce. Le 12 octobre, le Tribunal de première instance a rejeté un recours de la France visant à mettre un terme à ce cadre.
Le cadre de protection des donnéeset le pont de données britannique
Le cadre de protection des données permet aux organisations de l’UE et des États-Unis d’opter pour un accord de partage des données. La gestion des données est une préoccupation majeure pour l’UE, comme en témoignent des politiques telles que le GDPR qui ont modifié le mode de fonctionnement des sites dans le monde entier. Même les États qui ne font plus partie de l’UE, à savoir le Royaume-Uni, ont adhéré à un élargissement du cadre de protection des données via le “UK-U.S. Data Bridge” (pont de données entre le Royaume-Uni et les États-Unis).
À l’instar des plus grandes économies de l’Union européenne, le Royaume-Uni abrite des sites web de grande envergure qui traitent de nombreuses données, y compris des données financières. L’importance du secteur britannique du divertissement en ligne a probablement été prise en compte dans l’élargissement du Data Bridge. De nombreux sites de jeux en ligne, qui traitent de grandes quantités d’informations sur les utilisateurs, sont basés en Grande-Bretagne. Les bonus des casinos en ligne britanniques en ont fait un secteur populaire sur l’île, et les sites qui les hébergent prennent d’importantes mesures pour assurer la sécurité des données des utilisateurs. Dans l’Union européenne, Malte jouit de la même réputation et de la même rigueur en matière de protection des données lorsqu’il s’agit d’industries en ligne telles que l’iGaming.
Le récent cadre de protection des données marque la troisième tentative de l’UE de conclure un pacte de protection des données avec les États-Unis. Les tentatives précédentes – la sphère de sécurité États-Unis-UE de 2000 et le bouclier de protection des données États-Unis-UE de 2016 – ont toutes deux été abandonnées par la Cour de justice de l’Union européenne. Cette décision a été motivée par les contestations de Max Schrems, avocat autrichien et militant de la protection des données personnelles, qui ont fait l’objet des arrêts Schrems I et Schrems II. Après le rejet par la CJUE des accords antérieurs, l’UE et les États-Unis ont soigneusement négocié le cadre en gardant à l’esprit les préoccupations de M. Schrems, confirmées par la Cour. Le décret 14086, signé à la fin des négociations par les États-Unis pour ouvrir la voie au cadre et au pont de données de la Grande-Bretagne, fait partie de ce processus.
LeTribunal de l’UE confirme le cadre de protection des données
Contrairement aux deux tentatives précédentes d’établir un accord de partage des données avec les États-Unis, c’est l’eurodéputé français Philippe Latombe qui a contesté le cadre pour la première fois. Cela s’est produit après la décision d’adéquation de juillet qui a renouvelé la participation de l’UE à l’accord. M. Latombe a demandé la suspension du cadre et la révision du contenu du texte de l’accord pour en vérifier la légalité. Latombe se plaignait notamment du fait que les pays de l’UE n’avaient été informés qu’en anglais et que les informations n’avaient pas été publiées dans des sources telles que le Journal officiel.
En rejetant les contestations de Latombe, le Tribunal a déclaré qu’elles ne prouvaient pas l’existence d’un préjudice individuel ou collectif découlant de l’accord, comme c’était le cas dans les affaires Schrems I et Schrems II. Alors que les demandes de suspension de Latombe ont été rejetées, Max Schrems et son organisation à but non lucratif NOYB ont annoncé qu’ils avaient également l’intention de contester le cadre. Contrairement à Latombe, leur contestation portera probablement sur les droits numériques, et leurs antécédents indiquent que le cadre de protection des données sera soumis à un examen approfondi.
La Commission européenne vient de présenter un “nouveau” “cadre transatlantique de protection des données” #TADPF avec les États-Unis – qui est en grande partie une copie de #PrivacyShield.
noyb contestera la décision.https://t.co/EmSH1Q90YA-
noyb (@NOYBeu) July 10, 2023
Il semble donc que le cadre de protection des données doive résister à une nouvelle contestation dans un avenir proche. Alors que les batailles juridiques à venir pourraient perturber le cadre, les contestations de la nouvelle politique sont un moyen sain de résoudre les problèmes que les parties peuvent avoir. En donnant à ces contestations leur chance devant les tribunaux, l’UE peut alors parvenir à une politique qui satisfait toutes les parties, y compris le public. Compte tenu de l’importance des données à l’heure actuelle, il ne fait aucun doute qu’un accord quelconque verra le jour à l’avenir, qu’il s’agisse du cadre de protection des données ou d’une version ultérieure.
