Pour combler ce vide juridique, et vu les enjeux cruciaux pour l’économie numérique, la Commission européenne a récemment adopté un nouveau texte. Des garde-fous supplémentaires ont été mis en place pour encadrer l’accès des données aux agences de renseignement américaines. Désormais l’accès, en plus de devoir être justifié au nom de la sécurité nationale, doit être limité à ce qui est « proportionné » et « nécessaire » afin de se conformer aux prescrits de l’article 45.3 du RGPD, permettant le transfert des données à caractère personnel vers un pays tiers. Si l’intention est louable, il faut toutefois reconnaître que ces termes, pourtant illustres du RGPD, laissent encore une très grande place à l’interprétation.
Une nouveauté de l’accord consiste en l’octroi d’une possibilité de recours aux ressortissants européens s’ils considèrent que leurs données personnelles ont été collectées illégalement par les autorités américaines. Ce droit de recours est assorti d’un droit à la correction ou à la suppression de ces données, également prévu par le RGPD. En comparaison avec le néant existant auparavant à cet égard, l’avancée peut être saluée. Cette nouvelle mouture du texte a le mérite de vouloir, sur papier du moins, accorder aux citoyens européens les mêmes droits qu’aux citoyens américains. Auparavant, et même lors de la mise en place du Privacy Shield, lorsqu’une entreprise américaine traitait de façon inapproprié des données de citoyens européens, aucun recours n’était possible.