Le Parlement européen a voté, à une large majorité, une motion invitant Bruxelles à ne pas adopter tel quel le successeur du Privacy Shield.
« Ça coince pour le successeur du Privacy Shield. » Ainsi nous étions-nous fait, en février dernier, l’écho d’une ébauche de proposition de résolution au Parlement européen. Elle émanait de la commission des libertés civiles, de la justice et des affaires intérieures.
En une dizaine de points, le constat était établi : les engagements des États-Unis sur ce futur cadre de potentiel de protection des flux transatlantiques de données personnelles (DPF, Data Privacy Framework) sont insuffisants.
Tendance confirmée la semaine passée en séance publique. À une large majorité (306 pour, 27 contre), les eurodéputés ont voté ladite motion. Quelques éléments s’y sont ajoutés par rapport à la version de février, mais les grands axes demeurent.
En première ligne, l’ordre exécutif 14086, que Joe Biden a signé en octobre 2022. Ce texte constitue, côté américain, le principal véhicule de négociation avec l’UE. Il est censé corriger ce qui a valu au Privacy Shield son annulation par la Cour de justice de l’Union européenne.
Les élus reconnaissent des avancées, mais les considèrent comme insuffisantes pour assurer un niveau de protection des données « substantiellement équivalent » à celui garanti dans l’UE. Et de pointer, notamment, l’interprétation des principes de proportionnalité et de nécessité. La définition que s’en font les USA n’est pas en ligne avec celle de la législation UE, affirment-ils.
Le DPF, encore trop dans l’esprit Privacy Shield ?
Le Parlement s’arrête aussi sur la liste de finalités légitimes sous le couvert desquelles les États-Unis pourraient tout de même mener activités de renseignement électronique (SIGINT, signals intelligence). Et surtout sur la possibilité, pour le président américain, de modifier cette liste sans en informer le public, ni même l’UE.
Autre appel à la vigilance : l’ordre exécutif n’interdit pas les collectes massives de données, y compris pour les contenus des communications. Et quand bien même il contient des garde-fous, il n’impose pas l’obtention préalable d’une autorisation issue d’un organisme indépendant.