Privacy Shield : Bruxelles se range sous un blason décrié
La Commission européenne a adopté le Privacy Shield, qui succède au Safe Harbor pour encadrer les transferts de données entre l’UE et les États-Unis.
Un texte examiné « dans la précipitation », qui « passe sciemment à côté du cœur de l’arrêt de la CJUE invalidant le Safe Harbor » et enfreint la Charte des droits fondamentaux de l’UE en ouvrant la voie à une « braderie sordide de la vie privée de dizaines de millions d’internautes européens » : La Quadrature du Net a un avis tranché sur le Privacy Shield.
La Commission européenne a adopté, mardi 12 juillet 2016, ce dispositif voué à encadrer les flux transatlantiques de données personnelles en apportant aux citoyens des garanties et des voies de recours concernant la protection de leurs droits.
Le Privacy Shield constitue une « décision d’adéquation » par laquelle les 28 États membres de l’Union européenne – auxquels s’ajoutent la Norvège, le Liechtenstein et l’Islande, sous l’égide du groupe « Article 31 » – reconnaissent que les États-Unis assurent un niveau suffisant de protection des données personnelles.
En conséquence, sous réserve de répondre aux exigences inscrites dans le texte, une entreprise peut transférer, sans restrictions, des données de citoyens européens vers l’autre côté de l’Atlantique.
Le Safe Harbor portait ce même objectif, mais la Cour de justice de l’Union européenne l’a invalidé le 6 octobre 2015, dans le cadre d’une procédure intentée contre Facebook par le dénommé Maximillian Schrems, résident autrichien.
Depuis lors, une course contre la montre s’est enclenchée, sous l’impulsion d’organisations telles que DigitalEurope, qui regroupe essentiellement des firmes américaines du numérique (Amazon, Google, HPE, Intel…).
Un bouclier pour tous ?
En février dernier, Bruxelles et Washington avaient trouvé un accord auquel Microsoft avait été la première grande entreprise IT à se rallier officiellement, sous conditions.
Du côté des défenseurs des libertés civiles à l’ère numérique, on évoquait un « Safe Harbor 1.1 », fait de « réchauffé », tout particulièrement parce qu’il ne requérait alors aucune modification substantielle de la loi aux États-Unis.
Entre-temps, les CNIL européennes, plusieurs gouvernements et le Parlement à Strasbourg ont exprimé des inquiétudes, pointant notamment du doigt le fait que si les États-Unis font le distinguo entre « collectes massives » et « surveillance massive », l’Union européenne ne peut adopter la même approche au regard de la décision CJUE du 6 octobre 2015.
Des voix se sont aussi élevées contre le mécanisme de médiateur ( « Ombudsperson »). Ce dernier doit officier au sein du département d’État américain, « en toute indépendance » vis-à-vis des services de renseignement, pour examiner les recours des citoyens européens qui estiment qu’une entreprise américaine a commis un abus dans le traitement de leurs données personnelles.
Côté américain, on s’impatiente. Ainsi Julie Brill, ancienne commissaire à la FTC, confiait-elle dernièrement à Politico : « Les législateurs européens vont devoir décider clairement la manière dont ils se positionnent par rapport au reste du monde ».
La Quadrature du Net dénonce précisément cette pression « qui a forcé les États membres à analyser et à adopter le texte en seulement une semaine, et ce alors même que les CNIL européennes ne se réuniront que le 25 juillet pour évaluer si leurs attentes et leurs réserves ont été prises en compte ».
« Surveillance » ou « collecte » ?
Le ton est différent chez Andrus Ansip. Le vice-président de la Commission européenne chargé du numérique considère que le Privacy Shield apporte « un niveau de protection élevé aux citoyens » et « une sécurité juridique aux entreprises ».
Sur ce dernier point, des dispositions se sont ajoutées par rapport au Safe Harbor. Tout particulièrement l’obligation, pour les sous-traitants d’une entreprise réalisant des transferts sous l’égide du Privacy Shield, de fournir le même niveau de protection des données. Le texte est aussi plus explicite sur la rétention desdites données.
En matière de surveillance, la Maison Blanche a pris des engagements écrits, tout en apportant des clarifications sur les conditions des « collectes massives ». Elle a aussi accepté que le Privacy Shield soit réétudié à fréquence annuelle par le département du Commerce, en association avec la Commission européenne.
Pour démontrer que les lignes ont bougé depuis l’affaire Snowden, l’administration U.S. met en avant une directive de janvier 2014 qui restreint la marge de manœuvre du renseignement américain ; et l’USA Freedom Act de 2015, qui limite la portée des collectes de données.
Pour ce qui est des voies de recours, les autorités européennes chargées de la protection des données personnelles transmettront les dossiers au département américain du Commerce ou à la Federal Trade Commission.
Crédit photo : Sashkin – Shutterstock.com