Plus de six mois après un « accord de principe » entre l'UE et les États-Unis, le président américain Joe Biden a signé le décret exécutif tant attendu qui vise à respecter les arrêts passés de la Cour européenne de justice (CJUE). Avec de décret, Joe Biden voudrait surmonter les limitations des transferts de données entre l'UE et les États-Unis.

Le décret est donc conçu pour codifier les accords que l'UE et l'Amérique ont conclus plus tôt cette année qui rétabliraient le Privacy Shield, bien que la version 2.0 de celui-ci. Il s'agit d'un framework qui définit comment, quand et quelles données des citoyens sont envoyées à l'étranger, entre l'Europe et l'Amérique.

Selon Joe Biden, ce décret renforce un ensemble « déjà rigoureux » de mesures de protection de la vie privée et des libertés civiles pour les activités de renseignement des États-Unis. Indirectement, le président américain évoque l’application de lois américaines, telles que le Cloud Act, qui permettent aux agences de renseignement de s’emparer et de consulter les données traitées ou hébergées par toutes les sociétés américaines.

Toutefois, selon un défenseur de la vie privée qui a rejeté les réglementations précédentes devant les tribunaux, ce décret exécutif signé par le président Biden pourrait ne pas répondre aux exigences de l'UE.

L’accord « Privacy Shield » est venu remplacer l’accord « Safe Harbor ». Ce dernier, qui organisait une partie du transfert des données entre l’Union européenne et les États-Unis, a été annulé par la Cour de justice de l’Union européenne le 6 octobre 2015. Après cette décision, la Commission européenne a donc négocié rapidement un nouvel accord avec les États-Unis, afin d'assurer la continuité du flux massif de données entre les deux continents. C’est ainsi qu’a été proposé le Privacy Shield, qui est entré en vigueur dès le 1er août 2016.

Puis est venu le règlement général relatif à la protection des données (RGPD) qui dispose que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. Selon ce règlement, la Commission peut constater qu’un pays tiers assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection adéquat. En l’absence d’une telle décision d’adéquation, un tel transfert ne peut être réalisé que si l’exportateur des données à caractère personnel, établi dans l’Union, prévoit des garanties appropriées, pouvant notamment résulter de clauses types de protection des données adoptées par la Commission, et si les personnes concernées disposent de droits opposables et de voies de droit effectives. Par ailleurs, le RGPD établit, de manière précise, les conditions dans lesquelles un tel transfert peut avoir lieu en l’absence d’une décision d’adéquation ou de garanties appropriées.
[...]