« Ça coince pour le successeur du Privacy Shield. » Ainsi nous étions-nous fait, en février dernier, l’écho d’une ébauche de proposition de résolution au Parlement européen. Elle émanait de la commission des libertés civiles, de la justice et des affaires intérieures.
En une dizaine de points, le constat était établi : les engagements des États-Unis sur ce futur cadre de potentiel de protection des flux transatlantiques de données personnelles (DPF, Data Privacy Framework) sont insuffisants.
Tendance confirmée la semaine passée en séance publique. À une large majorité (306 pour, 27 contre), les eurodéputés ont voté ladite motion. Quelques éléments s’y sont ajoutés par rapport à la version de février, mais les grands axes demeurent.
En première ligne, l’ordre exécutif 14086, que Joe Biden a signé en octobre 2022. Ce texte constitue, côté américain, le principal véhicule de négociation avec l’UE. Il est censé corriger ce qui a valu au Privacy Shield son annulation par la Cour de justice de l’Union européenne.
Les élus reconnaissent des avancées, mais les considèrent comme insuffisantes pour assurer un niveau de protection des données « substantiellement équivalent » à celui garanti dans l’UE. Et de pointer, notamment, l’interprétation des principes de proportionnalité et de nécessité. La définition que s’en font les USA n’est pas en ligne avec celle de la législation UE, affirment-ils.