Un Anglais, un Étasunien et un Suisse sont dans un avion Européen au-dessus de l’Atlantique…
Si vous ne le savez pas, le 16 juillet 2020 la Cour de Justice de l’Union Européenne a invalidé la décision d’adéquation du mécanisme de transfert de données de l’Europe vers les USA « Privacy Shield » par son arrêt C-311/18 dit « Schrems II », sur la base d’une inadéquation entre le droit étasunien et le droit Européen. Plusieurs particularités à cet arrêt de la CJUE :
- la plainte à son origine datant de 2018, seuls les lois US FISA702 et EO12333 ont été étudiées ;
- le CLOUD Act n’a pas été étudié car ne faisant pas partie de la plainte originelle ;
- les lois étudiées sont de portée extra-territoriale, ce qui signifie que la localisation physique des données n’a que peu d’importance, car ces lois s’appliquent à tout acteur dépendant du droit étasunien.
Depuis lors, le CLOUD Act est entré en application et pose de nouvelles interrogations en droit international et droit comparé. Depuis lors, le Royaume Uni a quitté l’Union Européenne, continue d’appliquer le RGPD directement, a signé un accord bilatéral « executive agreement » avec les USA sur les bases de cette loi, pour des échanges de données à caractère personnel et a quand même fait l’objet d’une décision d’adéquation de la part de la Commission Européenne.
Durant ce mois de septembre 2021, l’Office fédéral Suisse de la justice a rendu un avis de droit sur la situation pour la Suisse. Il étudie la faisabilité en droit d’un executive agreement entre la Suisse et les USA sur la base du CLOUD Act pour faciliter les deux parties dans la résolution d’affaires pénales. Cet avis de droit est très intéressant car il donne à lire, en droit comparé, le niveau d’adéquation entre trois droits : le droit Suisse, le droit de l’UE (RGPD), et le droit US (CLOUD Act), avec en filigrane un autre droit, le droit du Royaume Uni.
La conclusion de ce rapport amène à considérer qu’un executive agreement rendrait toute décision d’adéquation par la Commission Européenne très incertaine, voire impossible, remettant ainsi en question fondamentalement, par une autorité judiciaire « étrangère », la décision d’adéquation en faveur du Royaume Uni.
Plusieurs axes de réflexion ou questions nous semblent résister aux conclusions rapides :
- Quelles conséquences complémentaires sur les prestations / services étasuniens traitant des données à caractère personnel de personnes résidant dans l’UE pourraient avoir une pareille position des autorités judiciaires de l’UE, en complément de l’arrêt « Schrems II » de la CJUE ?
- La décision d’adéquation du Royaume Uni tiendra-t-elle encore longtemps ? Comment gérer ce risque d’invalidation brutale de la décision adéquation, comme ce fut le cas pour les USA avec « Schrems II » ?
- Quels leviers sont à notre disposition (particulière et citoyenne) pour faire valoir cette analyse en droit pour nos droits et libertés ?
Et à la fin, « qui c’est qui reste dans l’avion ? »
Soutenez l’association 0D pour faire valoir notre droit fondamental à la protection des données !