Le 09.12.2020,¹ la commission sénatoriale du commerce, des sciences et des transports a organisé une audition, au cours de laquelle elle a discuté de la nécessité d'une législation fédérale complète sur la protection de la vie privée aux États-Unis ainsi que de l'avenir des flux de données transatlantiques à la lumière de l'invalidation du bouclier de protection de la vie privée UE/États-Unis par la Cour de justice de l'Union européenne (CJUE) le 16.07.2020 (affaire C-311/18, Schrems II).² Les discussions ont porté sur les considérations politiques qui ont amené la CJUE à conclure que le cadre existant à l'époque n'avait pas permis d'assurer des normes de protection équivalentes à celles requises par le droit européen. En outre, l'audience a donné lieu à des présentations d'experts sur les étapes pratiques à suivre pour établir un cadre de transfert de données successeur.

La réunion a renforcé l'urgence d'un remplacement législatif rapide qui permettrait de poursuivre les opérations transatlantiques. Il a été convenu qu'une telle évolution serait particulièrement cruciale pour les petites entreprises, qui représentent plus de 70% des entreprises certifiées Privacy Shield.³ Bien que reconnaissant la nécessité d'un consensus international, l'audition n'a pas inclus d'experts européens ni de représentants de la société civile. Parmi les intervenants figuraient toutefois des représentants de la Commission fédérale du commerce des États-Unis (FTC), du ministère du commerce des États-Unis (DoC), de l'industrie du logiciel (Victoria Espinel) ainsi que du professeur distingué de droit Koch, M. Neil Richards, et de M. Peter Swire, professeur de droit et d'éthique au Scheller College of Business de Georgia Tech, et directeur associé pour la politique du Georgia Tech Institute for Information Security and Privacy.

Dans son discours d'ouverture, le président de la commission, M. Roger Wicker, a exprimé son soutien à un cadre transatlantique de transfert de données "durable et viable", qu'il a qualifié d'"ordre élevé mais essentiel". S'appuyant sur une estimation selon laquelle "les échanges commerciaux rendus possibles par le numérique ont représenté entre 1,2 milliard et 1,5 milliard de dollars dans le monde en 2019 [tout en étant] censés augmenter le PIB mondial de plus de 1,2 milliard de dollars" en 2020, il a fait allusion aux avantages économiques considérables que le commerce international procure aux entreprises nationales et internationales. Au cours de ses remarques, M. Wicker a fait valoir que l'ancien Privacy Shield a établi un mécanisme juridique qui était "destiné à garantir que plus de 5 000 petites et moyennes entreprises, couvrant plusieurs secteurs économiques aux États-Unis et dans l'UE, puissent continuer à participer au commerce numérique transatlantique sans être perturbées". En soulignant certaines des exigences clés stipulées dans le cadre du Privacy Shield (par exemple, les obligations de notification imposées aux organisations participantes, la nomination de médiateurs pour permettre une enquête adéquate sur les plaintes, etc.), il a estimé que les droits de recours existants aux États-Unis étaient adéquats et que son régime de surveillance était comparable à celui des autres États membres de l'UE. Néanmoins, en reconnaissant le caractère commun des valeurs démocratiques partagées entre les continents, M. Wicker a renforcé son engagement en faveur de l'élaboration de normes significatives en matière de protection des données des consommateurs qui "soutiendraient la libre circulation de l'information de part et d'autre de l'Atlantique et encourageraient la poursuite du partenariat économique et stratégique" avec l'Europe.

La Ranking Member, Mme Maria Cantwell, a souligné l'importance d'une plus grande transparence des décisions rendues par la Foreign Intelligence Surveillance Court (FISC). Le commerce numérique entre les États-Unis et l'Europe étant évalué à plus de 300 milliards de dollars par an, elle a plaidé en faveur d'une résolution qui non seulement favoriserait la confiance et rétablirait une plus grande coopération en matière de surveillance entre les entités, mais qui s'abstiendrait également de toute déviation " vers le protectionnisme national ".

Dans ses remarques, Mme Victoria Espinel,⁴ présidente et directrice générale du groupe commercial de l'industrie du logiciel BSA, a souligné l'importance de maintenir une structure de transfert de données à la fois sûre et fiable pour soutenir et assurer la croissance continue des deux économies. Malgré l'urgence d'offrir aux consommateurs des protections efficaces de la vie privée, elle a également encouragé "toutes les sociétés démocratiques partageant les mêmes idées et intéressées à la fois par la sécurité et les libertés civiles à réfléchir de manière audacieuse à des approches à plus long terme des garanties de sécurité" (p. 3), affirmant qu'"une certaine quantité de renseignements sur les signaux est nécessaire dans une société démocratique pour assurer la sécurité" (p. 10).

M. James Sullivan, secrétaire adjoint du ministère du commerce, chargé des services de l'administration du commerce international,⁵ a expliqué qu'il avait participé à un certain nombre de discussions multilatérales avec des fonctionnaires de l'UE, axées sur le remplacement du Privacy Shield. Il a estimé que la décision de la CJUE avait créé "d'énormes incertitudes pour les entreprises américaines et l'économie transatlantique" (p2) qui avaient contraint les entreprises à faire face à trois choix distincts, à savoir : " (1) risquer de se voir infliger des amendes potentiellement énormes (pouvant aller jusqu'à 4 % du chiffre d'affaires mondial total de l'année précédente) pour violation du GDPR, (2) se retirer du marché européen, ou (3) passer immédiatement à un autre mécanisme de transfert de données plus coûteux " (p6). Il a également pointé du doigt la question de l'accès des gouvernements aux données, plaidant en faveur de "discussions plus larges entre démocraties partageant les mêmes idées" afin de "développer des principes basés sur des pratiques communes pour déterminer la meilleure façon de concilier les besoins en données des forces de l'ordre et de la sécurité nationale avec la protection des droits individuels" (p8). Il a ajouté qu'une telle demande d'accès se distingue toutefois de celle des sociétés non démocratiques, dont l'engagement dans la collecte de données personnelles vise à "surveiller, manipuler et contrôler [les citoyens] sans tenir compte de la vie privée et des droits de l'homme" (p8). En conclusion, il a souligné l'importance de principes partagés comme base essentielle pour "préserver et promouvoir un Internet libre et ouvert rendu possible par le flux continu de données" (p8).

Considérant l'interopérabilité comme une priorité pour la nouvelle administration, le commissaire de la Commission fédérale du commerce (FTC), M. Noah Joshua Phillips,⁶ a également appelé les démocraties libérales à s'unir, et non à se diviser, dans la recherche d'une voie à suivre à la suite de l'élargissement de l'Union européenne. Schrems II décision. Il a affirmé qu'il est préjudiciable pour les pays de 'd'évaluer leur approche de la gouvernance numérique [,] de partager et de promouvoir les avantages d'un internet libre et ouvert" et de renforcer les liens avec des régimes de gouvernance des données compatibles en traçant des lignes de démarcation "entre les alliés qui partagent des valeurs communes [et] ceux qui offrent une vision radicalement différente" (p9).

Les deux dernières contributions de M. Swire⁷ et M. Richards,⁸ a offert un compte rendu académique sur les preuves soumises au cours de l'enquête. Schrems II procédures. Tout en considérant le niveau de protection offert par le Privacy Shield comme essentiellement équivalent à celui garanti au sein de l'UE, M. Swire a estimé qu'une révision des pratiques de surveillance américaines actuelles était nécessaire. Il a proposé un accord d'un an qui permettrait à la "nouvelle administration de s'engager systématiquement [dans la création] d'approches durables pour des accords avec l'UE sur les données" tout en fournissant une "incitation utile pour toutes les parties concernées à continuer à travailler intensivement à une solution à plus long terme" (p10).

M. Richards, en revanche, a exprimé un sentiment d'urgence concernant un engagement des États-Unis en faveur d'une réforme de la législation sur la vie privée et la surveillance, qui, selon lui, était devenue une " créature de la méfiance " (p18), enracinée dans l'absence d'une législation fédérale complète sur la vie privée et les révélations de Snowden qui avaient dévoilé les activités de surveillance de la NSA en juin 2013. Grâce à un recours judiciaire significatif et en remédiant aux lacunes des vastes systèmes de collecte de signaux et de renseignements du pays, il a affirmé que les États-Unis pourraient parvenir à une protection adéquate de la vie privée et des données. À cet égard, il a suggéré que les Schrems II La décision de la Commission offre une occasion significative de reprendre le leadership en matière de protection des consommateurs, mais aussi de progresser vers une plus grande coopération internationale et une plus grande prospérité économique.: 'il y a une voie à suivre, mais elle exige que nous reconnaissions que des règles solides, claires et propices à la confiance ne sont pas hostiles aux intérêts des entreprises, que nous devons dépasser le système défaillant de "notification et choix", que nous devons préserver des recours efficaces pour les consommateurs et l'innovation réglementaire au niveau des États, et envisager sérieusement un devoir de loyauté" (p. 19).

Les principaux points de vue exprimés par les témoins lors de l'audition de la commission sénatoriale reflètent le soutien général de l'assemblée en faveur d'une législation complète sur la protection de la vie privée des consommateurs, qui imposerait aux entreprises un devoir de loyauté dans leur traitement des données personnelles et conférerait aux particuliers un droit d'action privé. Malgré le nombre considérable de suggestions diverses présentées ce jour-là, tous les intervenants ont reconnu d'un commun accord le grave impact de l'invalidation du Privacy Shield et la nécessité d'en corriger les effets. Une décision d'adéquation ne pourrait toutefois être prise avec succès que si les méthodes de collecte de renseignements étaient révisées et la réforme de la surveillance véritablement engagée. Ces efforts pourraient nécessiter la recherche d'un large consensus avec d'autres alliés démocratiques dotés de solides régimes de protection de la vie privée.

Affronter ces questions au niveau mondial est un point de départ essentiel pour surmonter l'incertitude qui menace de perturber les flux de données transatlantiques, essentiels aux activités de nombreuses entreprises technologiques basées aux États-Unis. Cependant, elle s'annonce également particulièrement cruciale pour dégager des options significatives de réforme de la surveillance qui favoriseraient le respect de la directive sur la protection des données. Schrems II et offrent par inadvertance de protéger les droits des consommateurs au-delà des frontières nationales.

Notes de bas de page

1 Webcast et transcriptions écrites disponibles via : https://www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.

2 Disponible via : http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.

3 Département du commerce des États-Unis, Le secrétaire au commerce Wilbur Ross salue l'étape du bouclier de protection de la vie privée - le bouclier de protection de la vie privée a atteint 5 000 entreprises participantes actives (11 septembre 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has ; Congressional Research Service, U.S.-EU Privacy Shield (6 août 2020), https://fas.org/sgp/crs/row/IF11613.pdf

4 Transcription disponible via : https://www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.

5 Transcription disponible via : https://www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.

6 Transcription disponible via : https://www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.

7 Transcription disponible via : https://www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.

8 Transcription disponible via : https://www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.