Le Privacy Shield : les incertitudes

96577585_o

La Cour de justice de l’Union européenne a invalidé la décision n° 2000/520/CE de la Commission (« Safe Habor »), qui rendait possible le transfert de données personnelles entre l’Union européenne vers des entreprises américaines, au motif que ce pays ne présentait pas des garanties suffisantes en matière de protection des données personnelles. À la suite de cet arrêt, la Commission  européenne a adopté le 12 juillet 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données, le « Privacy Shield ».

Entré en vigueur le 1er août 2016, ce nouvel accord impose aux entreprises des obligations renforcées en termes de traitement des données personnelles et d’information des personnes concernées par les traitements. En cas de non-respect des principes du Privacy Shield, les personnes concernées disposent de mécanismes de recours plus étendus. Cet accord impose aux entreprises destinataires des données d’être préalablement être inscrites sur un registre tenu par l’administration américaine.

À compter de l’entrée en application du règlement (soit le 25 mai 2018), cette décision suivra le régime général des décisions d’adéquation prévu par l’article 45 du règlement européen et sera soumise à une révision périodique pour évaluer si le niveau de protection des données reste substantiellement équivalent à celui assuré par le droit de l’Union européenne. En pratique, Il est prévu que le Privacy Shield prévoit lui-même une procédure de réévaluation annuelle pour s’assurer qu’il reste suffisamment protecteur des données transmises (article 4).

Cependant, la pérennité du Privacy Shield et sa conformité au règlement pourraient être remises très prochainement.

  • Déclaration du G29 du 29 juillet 2016: Le G29 a émis des réserves sur cet accord et a considéré que d’importantes préoccupations demeuraient concernant notamment l’accès par les autorités publiques américaines aux données transférées par l’UE. Le G29 indique que la première évaluation annuelle de cet accord sera « un moment clé » permettant d’évaluer l’effectivité des garanties prévues par le Privacy Shield. Le G29 insiste sur des certains points préoccupants – Le défaut de règles spécifiques pour les décisions automatisées et l’absence d’un droit d’opposition. De plus, la manière dont les principes du Privacy Shield vont être appliqués aux sous-traitants devrait davantage explicitée
    – Concernant l’accès par les autorités publiques aux données transférées aux États-Unis dans le cadre du Pirvacy Shield, le G29 aurait souhaité des garanties plus strictes concernant l’indépendance du médiateur américain (Ombudsperson) et les pouvoirs qui lui sont accordés. Le G29 note l’engagement des services de renseignement américains à ne pas effectuer de collecte massive de données personnelles. Néanmoins, il souligne le manque de garanties concrètes permettant d’éviter que de telles pratiques de collecte massive aient lieu.
  • Décret de M. Donald Trump: Le président des États-Unis, M. Donald Trump a signé en janvier 2017 un décret[1] qui fragilise l’accord en contredisant la politique menée par M. Barack Obama en matière de renforcement de la protection des données personnelles.

En effet, après les révélations de M. Edward Snowden et la remise en cause de l’accord « Safe Harbor », les États-Unis ont adopté en février 2016 une nouvelle loi relative aux recours juridictionnels[2], qui étend aux citoyens de certains pays (y compris ceux de l’Union européenne) les garanties dont bénéficient les citoyens et les résidents américains en matière d’utilisation des données à caractère personnel par les agences fédérales en application de la loi sur la protection de la vie privée (Privacy Act). De plus, Barack Obama, a signé une directive présidentielle en 2014 reconnaissant à toute personne, quelle que soit sa nationalité, un « droit légitime à la vie privée » et tentant d’encadrant de manière plus stricte la collecte de données par les renseignements américains. Toutes ces évolutions ont permis à la commission européenne de juger adéquat le niveau de protection des données personnelles aux États-Unis et l’adoption du Privacy Shield.

Or, un décret «d’amélioration de la sécurité publique au sein des États-Unis » (dit décret anti-immigration) signé par M. Donald Trump  le 27 janvier 2017, prévoit dans sa clause n°14 que « les agences (ex: NSA et FBI) devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables ».

La Commission européenne s’est montrée rassurante en indiquant que le décret présidentiel américain n’a aucun impact sur le Privacy Shield, car il n’est pas soumis au Privacy Act. Le Privacy Act est le texte de 1974 qui encadre l’usage des données personnelles de citoyens américains par les agences fédérales. De plus, un décret ne pouvant supplanter une loi, la loi relative aux recours juridictionnels (Judicial Redress Act), qui concerne les citoyens européens, semble toujours applicable et le Privacy Shield n’est pas directement remis en cause. Cependant, ce décret a fait naître des inquiétudes comme le souligne Mme Vera Jourová (la commissaire à la Justice), qui a indiqué vouloir être « certaine » que le Privacy Shield subsistera compte tenu de la décision prise par le Président Donald Trump.

 Dès lors, plusieurs organismes pourraient remettre en cause le Privacy Shield :

  • La Commission pourrait remettre en cause cet accord, si les informations disponibles révèlent, que le pays n’assure plus un niveau de protection adéquat conformément au paragraphe 5 de l’article 45 du règlement.
  • La Cour de justice de l’Union européenne pourrait remettre en cause cet accord, comme elle l’a fait pour le « Safe habor ».

Le 28 février 2017, une coalition d’associations européennes et internationales, dont La Quadrature du Net, demandent dans une lettre ouverte[3] aux États-Unis et à l’Union européenne de suspendre l’exécution du Privacy Shield ne donnant pas suffisamment de garanties à la protection des données personnelles des Européens. Sont notamment visés explicitement, les mécanismes américains de recours et de supervision des violations de la vie privée, les insuffisances dans les limitations de la collecte, l’accès et l’utilisation des données personnelles et les incertitudes des garanties écrites.

[1] https://www.whitehouse.gov/the-press-office/2017/01/25/presidential-executive-order-enhancing-public-safety-interior-united

[2] https://www.congress.gov/bill/114th-congress/house-bill/1428/text

[3] https://www.laquadrature.net/fr/appel_suspension_privacy_shield

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>