Dans le monde entier : Les sénateurs américains réagissent à l'arrêt Schrems II de la CJUE - La nécessité d'une réforme de la protection de la vie privée en question

Le 09.12.2020,^[1] la commission sénatoriale du commerce, des sciences et des transports a organisé une audition, discutant de la nécessité d'une législation fédérale américaine complète sur la protection de la vie privée ainsi que de l'avenir des flux de données transatlantiques à la lumière de l'invalidation du Privacy Shield UE/États-Unis par la Cour de justice de l'Union européenne (CJUE) le 16. 07.2020 (affaire C-311/18, Schrems II)[2].Les discussions ont porté sur les considérations politiques qui ont conduit la CJUE à conclure que le cadre existant à l'époque n'avait pas réussi à fournir des normes de protection équivalentes à celles exigées par le droit de l'UE. En outre, l'audience a donné lieu à des présentations d'experts sur les mesures pratiques à prendre pour établir un nouveau cadre de transfert de données.

La réunion a renforcé l'urgence d'un remplacement législatif rapide qui permettrait de poursuivre les opérations transatlantiques. Il a été communément admis qu'une telle évolution serait particulièrement cruciale pour les petites entreprises, qui représentent plus de 70 % des entreprises certifiées Privacy Shield^[3]. Tout en reconnaissant la nécessité d'un consensus international, l'audition n'a pas inclus d'experts européens ni de représentants de la société civile. En revanche, des représentants de la Federal Trade Commission (FTC), du ministère américain du commerce (DoC), de l'industrie du logiciel (Victoria Espinel), ainsi que M. Neil Richards, professeur de droit distingué par Koch, et M. Peter Swire, professeur de droit et d'éthique au Georgia Tech Scheller College of Business, et directeur associé pour la politique de l'Institut Georgia Tech pour la sécurité de l'information et la protection de la vie privée, ont pris part à l'audition.

Dans son allocution d'ouverture, le président de la commission, M. Roger Wicker, a exprimé son soutien à un cadre transatlantique de transfert de données "durable et pérenne", estimant qu'il s'agissait d'une "commande ambitieuse mais essentielle". S'appuyant sur une estimation selon laquelle "le commerce numérique a représenté entre 800 et 1 500 milliards de dollars au niveau mondial en 2019 [tout en étant] susceptible d'augmenter le PIB mondial de plus de 3 000 milliards de dollars" en 2020, il a fait allusion aux avantages économiques considérables que le commerce international procure aux entreprises nationales et internationales. Au cours de son intervention, M. Wicker a fait valoir que l'ancien bouclier de protection de la vie privée avait mis en place un mécanisme juridique "destiné à garantir que plus de 5 000 petites et moyennes entreprises, couvrant plusieurs secteurs économiques aux États-Unis et dans l'Union européenne, puissent continuer à participer au commerce numérique transatlantique sans perturbation". En soulignant certaines des exigences clés stipulées dans le cadre du bouclier de protection de la vie privée (par exemple, les obligations de notification imposées aux organisations participantes, la nomination de médiateurs pour permettre une enquête appropriée sur les plaintes, etc.), il a estimé que les droits de recours existants aux États-Unis étaient adéquats et que leur régime de surveillance était comparable à celui d'autres États membres de l'UE. Néanmoins, en reconnaissant le caractère commun des valeurs démocratiques partagées entre les continents, M. Wicker a renforcé son engagement en faveur de l'élaboration de normes significatives de protection des données des consommateurs qui "soutiendraient la libre circulation des informations de part et d'autre de l'Atlantique et encourageraient la poursuite du partenariat économique et stratégique" avec l'Europe.

Maria Cantwell, membre de la commission, a souligné l'importance d'une plus grande transparence des décisions rendues par la Foreign Intelligence Surveillance Court (FISC). Le commerce numérique entre les États-Unis et l'Europe étant évalué à plus de 300 milliards de dollars par an, elle a plaidé en faveur d'une résolution qui non seulement favoriserait la confiance et rétablirait une plus grande coopération en matière de surveillance entre les entités, mais qui s'abstiendrait également de tout détournement "vers le protectionnisme national".

Dans ses remarques, Mme Victoria Espinel^[4], présidente et directrice générale de l'association professionnelle de l'industrie du logiciel BSA, a souligné l'importance de maintenir une structure de transfert de données à la fois sûre et fiable pour soutenir et garantir la croissance continue des deux économies. Nonobstant l'urgence de protéger efficacement la vie privée des consommateurs, elle a également encouragé "toutes les sociétés démocratiques animées du même esprit et intéressées à la fois par la sécurité et les libertés civiles à réfléchir avec audace à des approches à long terme des garanties de sécurité" (p. 3), affirmant qu'"une certaine quantité de renseignements d'origine électromagnétique est nécessaire dans une société démocratique pour assurer la sûreté et la sécurité" (p. 10).

M. James Sullivan, sous-secrétaire adjoint aux services de l'administration du commerce international du ministère du commerce^[5], a expliqué qu'il avait participé à un certain nombre de discussions multilatérales avec des fonctionnaires de l'UE, en se concentrant sur le remplacement du bouclier de protection de la vie privée. Il a estimé que la décision de la CJUE avait créé "d'énormes incertitudes pour les entreprises américaines et l'économie transatlantique" (p. 2), ce qui avait contraint les entreprises à faire trois choix distincts, à savoir : (1) risquer des amendes potentiellement énormes (jusqu'à 4 % du chiffre d'affaires mondial total de l'année précédente) pour violation du GDPR, (2) se retirer du marché européen, ou (3) passer immédiatement à un autre mécanisme de transfert de données plus coûteux" (p. 6). Il a également mis l'accent sur la question de l'accès des gouvernements aux données, plaidant en faveur de "discussions plus larges entre démocraties de même sensibilité" pour "développer des principes basés sur des pratiques communes afin de trouver la meilleure façon de concilier les besoins en données des forces de l'ordre et de la sécurité nationale avec la protection des droits individuels" (p. 8). Il a estimé qu'une telle demande d'accès se distingue toutefois de celle formulée par les sociétés non démocratiques, dont l'engagement dans la collecte de données personnelles vise à "surveiller, manipuler et contrôler [les citoyens] sans tenir compte de la vie privée et des droits de l'homme" (p. 8). En conclusion, il a souligné l'importance des principes partagés en tant que fondement essentiel pour "préserver et promouvoir un Internet libre et ouvert, rendu possible par la circulation fluide des données" (p. 8).

Considérant l'interopérabilité comme une priorité pour la nouvelle administration, le commissaire de la Federal Trade Commission (FTC), M. Noah Joshua Phillips^[6], a lui aussi appelé les démocraties libérales à s'unir, et non à se diviser, dans la recherche d'une voie à suivre à la suite de l'arrêt Schrems II. Il a affirmé qu'il était préjudiciable pour les pays "d'évaluer leur approche de la gouvernance numérique [,] de partager et de promouvoir les avantages d'un Internet libre et ouvert" et de renforcer les liens avec des régimes de gouvernance des données compatibles en traçant des lignes "entre les alliés qui partagent les mêmes valeurs [et] ceux qui offrent une vision radicalement différente" (p. 9).

Les deux dernières contributions de M. Swire^[7] et de M. Richards^[8] ont offert un compte rendu académique des preuves soumises au cours de la procédure Schrems II. Tout en considérant le niveau de protection offert par le bouclier de protection de la vie privée comme essentiellement équivalent à celui garanti au sein de l'UE, M. Swire a estimé qu'une révision des pratiques de surveillance américaines actuelles était nécessaire. Il a proposé un accord d'un an qui permettrait à la "nouvelle administration de s'engager systématiquement [dans la création] d'approches durables pour des accords avec l'UE sur les données" tout en fournissant une "incitation utile pour toutes les parties concernées à continuer à travailler intensément à une solution à plus long terme" (p. 10).

M. Richards, en revanche, a exprimé un sentiment d'urgence concernant l'engagement des États-Unis à réformer la législation sur la protection de la vie privée et la surveillance, qui, selon lui, est devenue une "créature de méfiance" (p. 18), en raison de l'absence d'une législation fédérale complète sur la protection de la vie privée et des révélations de M. Snowden, qui a dévoilé les activités de surveillance de la NSA en juin 2013. Grâce à un recours judiciaire significatif et à la correction des lacunes des vastes systèmes de collecte de signaux et de renseignements du pays, il a soutenu que les États-Unis pourraient parvenir à une protection adéquate de la vie privée et des données. À cet égard, il a suggéré que la décision Schrems II offre une opportunité significative de reprendre le leadership en matière de protection des consommateurs, mais aussi de progresser vers une plus grande coopération internationale et une plus grande prospérité économique : "il y a une voie à suivre, mais elle exige que nous reconnaissions que des règles fortes, claires et de confiance ne sont pas hostiles aux intérêts des entreprises, que nous devons dépasser le système défaillant de "notification et choix", que nous devons préserver des recours efficaces pour les consommateurs et l'innovation réglementaire au niveau de l'État, et envisager sérieusement un devoir de loyauté" (p. 19).

Les principaux points de vue exprimés par les témoins lors de l'audition de la commission sénatoriale reflètent le soutien général de la réunion en faveur d'une législation complète sur la protection de la vie privée des consommateurs, qui imposerait aux entreprises un devoir de loyauté dans le traitement des données à caractère personnel et conférerait aux particuliers un droit d'action privé. Malgré le nombre considérable de suggestions diverses présentées ce jour-là, tous les orateurs ont reconnu l'impact grave de l'invalidation du bouclier de protection de la vie privée et la nécessité d'en corriger les effets. Une décision d'adéquation ne pourrait toutefois être prise que si les approches en matière de collecte de renseignements étaient révisées et si la réforme de la surveillance était réellement engagée. Ces efforts pourraient nécessiter la recherche d'un large consensus avec d'autres alliés démocratiques dotés de régimes de protection de la vie privée solides.

Affronter ces questions au niveau mondial est un point de départ essentiel pour surmonter l'incertitude qui menace de perturber les flux de données transatlantiques, essentiels au fonctionnement de nombreuses entreprises technologiques basées aux États-Unis. Cependant, elle promet également d'être particulièrement cruciale pour trouver des options significatives de réforme de la surveillance qui favoriseraient le respect de la décision Schrems II et offriraient involontairement de protéger les droits des consommateurs au-delà des frontières des pays.

Ressources

1. Webcast et transcriptions écrites disponibles via : https://www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.
2. Disponible via : http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.
3. Département du commerce des États-Unis, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11 sept. 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has; Congressional Research Service, U.S.-EU Privacy Shield (6 août 2020), https://fas.org/sgp/crs/row/IF11613.pdf.
4. Transcription disponible via : https://www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.
5. Transcription disponible via : https://www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.
6. Transcription disponible via : https://www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.
7. Transcription disponible via : https://www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.
8. Transcription disponible via : https://www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.