Le Privacy Shield : nouveau rempart contre la surveillance américaine ?

La Commission européenne vient de lui trouver un remplaçant : le Privacy Shield. Mais pour l’heure, « ce ne sont que des mots », déplore Isabelle Falque-Pierrotin, présidente de la Cnil et du G29. Le gouvernement américain vient ainsi de promettre, par écrit, de limiter le niveau de surveillance des données personnelles en provenance de l’Europe. Cela serait donc, théoriquement, la fin d’une surveillance indifférenciée des données transférées vers les États-Unis.

Une révision annuelle et conjointe

Les sociétés américaines adhérant à cet accord devront, elles, renforcer leur système de protection de données et de garantie des droits individuels. Surtout, elles devront publier ces nouvelles mesures afin que les citoyens puissent s’en prévaloir et que leur non-respect puisse, après filtre des Cnil européennes, être sanctionné par la US Federal Trade Commission (FTC). Des modes alternatifs de résolution des conflits sont également prévus gratuitement, ainsi qu’un médiateur (Ombudsman), pour ce qui concerne l’accès des données par les agences de sécurités nationales.

Enfin pour s’assurer que les moyens mis en œuvre sont effectivement proportionnés au but à atteindre (la sécurité nationale), il est prévu une révision annuelle et conjointe de l’accord par la Commission et le Département de la Justice (DOJ) des États-Unis avec, si besoin, l’intervention d’experts de la protection des données personnelles.

Crainte d’une nouvelle sanction

Pour l’instant, seules les - très - grandes lignes du projet ont été dévoilées. Aucune instance, pas même le G29, n’a eu accès à autre chose que les résumés des lettres d’intention communiqués par la Commission.  Aussi, à peine dévoilé, l’accord fait déjà l’objet de nombreuses critiques de la part d’élus européens. L’absence des Cnil et du Parlement européen aux négociations préalables fait craindre une nouvelle sanction de la CJUE. À Bruxelles, au sein du Parlement, l’on utilise Twitter pour manifester son mécontentement : le président de la commission Libé[1], Claude Moraes, se dit « profondément préoccupés par la valeur réelle de ces propositions » quand son second, Jan Philipp Albrech, en parle comme d’une « plaisanterie ».

Les Cnil demandent à recevoir les documents complets avant la fin du mois de février mais, dans l’attente d’un examen approfondi de leur part et pour éviter un blocage, elles font preuve de pragmatisme en autorisant l’exportation et le traitement des données de citoyens européens aux États-Unis, malgré l’illégalité reconnue des transferts.

Pour Rappel, en l’an 2000, pour se conformer à la directive européenne sur la protection des données personnelles (Directive 95/46/CE), les États-Unis, en concertation avec la Commission européenne, avaient mis en place le Safe Harbor, destiné à régir le transfert des données des consommateurs européens vers les États-Unis.

Dans l’attente

Eclaboussé par les révélations d’Edward Snowden, ce système avait finalement été invalidé par la Cour de justice de l’Union européenne (CJUE) le 6 octobre dernier, qui avait jugé que la mise à disposition des données personnelles des citoyens européens aux agences de renseignement américaines portait « atteinte au contenu essentiel du droit fondamental au respect de la vie privé ».

Le G29 (le groupe européen des autorités de protection des données personnelles) donne jusqu’au 31 janvier 2016 pour qu’un nouvel accord soit trouvé. Dans l’attente, le marché recourt à des mécanismes complexes et contraignants (clauses contractuelles types et Binding Corporate Rules (BRC) principalement), qui donnent lieu à des situations souvent précaires.

L’urgence est donc de trouver un nouveau cadre juridique tenant compte des exigences du G29. C’est chose faite aujourd’hui avec l’annonce, par la Commission européenne, du Privacy Shield.

Hania Ait-Taleb

[1] Commission des Libertés civiles, justice et affaires intérieures du Parlement européen