Privacy shield : le successeur du Safe Harbor

L’accord qui remplace l’ensemble de principes concernant le transfert des données (Safe Harbor) est connu sous le nom de « EU-US Privacy shield » ou en français Bouclier de protection des données UE - États-Unis, il est entré officiellement en vigueur en août 2016. Ce nouvel accord sur les données doit garantir le respect des normes européennes en matière de protection des données personnelles pour les transferts vers les Etats-Unis, comme c’est le cas notamment, pour l’utilisation quotidienne des plateformes de médias sociaux. Cependant, sur de nombreux sujets, les États-Unis ne sont pas disposés à répondre aux demandes fondamentales des militants pour la protection de la vie privée et du Parlement européen. Quels sont les impacts et les effets à long terme de cet accord transatlantique ?

Début 2016, La Commission européenne avait confirmé la conclusion d’un accord sur la protection des données européennes. En effet, après l’invalidation de l’accord Safe Harbor en 2015 par la Cour de justice de l’Union européenne (CJUE), les régulateurs européens ont alors initialement approuvés une période de transition allant jusqu’à début 2016, pendant laquelle les transferts de données vers les Etats-Unis devaient continuer à suivre la base du Safe Harbor en ayant recours aux clauses contractuelles types de la Commission européenne. L’invalidation par la CJUE avait en effet provoqué beaucoup d’inquiétudes et de doutes pour de nombreuses entreprises, ces dernières risquant des amendes et des condamnations.

Le Privacy shield plus stricte que le Safe Harbor ?

L’accord Privacy shield a finalement pu être conclu grâce à la signature du Judicial Redress Act par le président américain Barack Obama le 25 février 2016, qui était alors une condition préalable nécessaire. En effet, cette loi donne aux citoyens de l’UE la possibilité d’intenter une action en justice aux Etats-Unis si des entreprises américaines sont coupables d’infractions concernant la protection des données. En juillet 2016, plusieurs Etats membres de l’UE avaient déjà approuvés la version définitive du Privacy shield.

L’adoption finale de cet accord par la Commission européenne a donc crée une nouvelle base juridique pour le trafic transatlantique des données. Concrètement, cela signifie que les services en ligne comme Facebook, Amazon et Google sont légalement autorisés à collecter les données personnelles de leurs utilisateurs et à transmettre les paquets de données aux Etats-Unis. La base de l’accord européen pour le Bouclier de protection de données réside dans le cadre d’une « décision d’adéquation » de la Commission européenne et d’autres textes dans lesquels le gouvernement américain garantit le respect de certaines normes visant à renforcer le niveau de protection des données personnelles transférées et stockées aux Etats-Unis afin d’atteindre quasiment le niveau des standards européens.

Comment les normes de stockage des données sont-elles garanties par les USA ?

Le secrétaire d’État des Etats-Unis John Kerry s’est engagé à créer un médiateur (« Ombudsperson ») au sein du ministère des affaires étrangères, c’est l’équivalent du défenseur des droits qui est indépendant de tous les services de renseignement, auquel les citoyens de l’UE peuvent s’adresser pour déposer des plaintes. Ce médiateur examinera toutes les préoccupations des particuliers et dans des cas spécifiques, indiquera si la législation correspondante a été respectée ou non.

Des recours juridiques ont aussi été promis aux citoyens de l’UE. Les entreprises concernées doivent d’abord répondre aux plaintes des personnes dans un délai de 45 jours. Il est intéressant de noter qu’en cas de litige une procédure alternative gratuite de règlement des différends est aussi disponible. En effet, chaque citoyen européen peut se tourner vers  les autorités nationales de protection des données qui travaillent en coopération avec la Federal Trade Commission (autorité américaine en charge de la protection du consommateur), en France il s’agit de la CNIL (Commission nationale de l’informatique et des libertés). La procédure d’arbitrage avec sentence exécutoire est le dernier recours si aucune autre forme d’accord ne peut être trouvée. Toutes les entreprises peuvent aussi agir conformément aux recommandations des autorités européennes de protection des données. Les entreprises de traitement de données sont de toute façon obligées de le faire.

Une fois par an, le fonctionnement du Bouclier de protection des données doit être évalué et la Commission européenne doit réaliser un rapport sur le Privacy shield en coopération avec le département du commerce américain. Ce rapport est par la suite transmis au Parlement européen. De plus cet audit est aussi ouvert aux experts et aux organisations non gouvernementales lors d’un congrès sur la vie privée et sur les développements en cours dans la législation américaine sur la protection des données et les impacts sur les citoyens européens.

Cependant, les autorités américaines peuvent continuer de collecter légalement des données à des fins de surveillance dans plusieurs hypothèses définies de manière assez large. En effet, l’accord limite le recours à la surveillance de masse à 6 objectifs spécifiques qui sont listés ci-dessous : 

  • La lutte contre le terrorisme
  • La détection et l’opposition à certaines activités de puissances étrangères
  • La lutte contre la prolifération des armes de destruction massive
  • La détection de menaces pour les Etats-Unis ou les forces alliées
  • La lutte contre les menaces et les crimes transnationaux

Privacy Shield : plus de 1456 entreprises américaines certifiées

Depuis le mois d’août 2016, les entreprises américaines souhaitant se conformer à la règlementation Privacy Shield ont pu s’engager sur les principes de protection de la vie privée dans la cadre de l’auto-certification. La majorité des règlements reprend en grande partie ceux du Safe Harbor. Toutefois certaines exigences ont étés renforcées et étendues. Cependant, il ne peut être question d’équivalence avec les normes européennes en matière de sécurité des données, puisque seules les entreprises qui traitent les données à caractère personnel sont tenues de se conformer aux normes communautaires.

Le site Internet de la Commission Fédérale du Commerce FTC énumère toutes les entreprises actuellement certifiées qui recueillent des données. Par souci d’exhaustivité, il convient de noter qu’en sus des sociétés mères, diverses filiales sont ajoutées (par exemple la société Microsoft est présente avec 20 filiales).

Privacy Shield : les arguments pour et contre

Le Bouclier de protection des données UE-États-Unis présente certains avantages pour les internautes européens. Le principe de finalité, qui fait partie intégrante du règlement général sur la protection des données (RGPD) pour l’UE est notamment un bon exemple. En effet, Il est bien précisé que les données peuvent être enregistrées et traitées uniquement pour des finalités déterminées, explicites et légitimes et ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités. De plus, les droits des citoyens de l’UE ont été renforcés puisque désormais ils peuvent recourir au médiateur (Ombudsperson) en cas de violations concrètes de la protection des données commises par des entreprises américaines. 

Cependant, l’accord n’est pas assez ambitieux aux yeux de nombreux critiques du Privacy shield. Les exigences de la Cour de justice de l’Union européenne (CJUE) ne seraient pas suffisamment satisfaites et les divergences seraient masquées de manière cosmétique. Les différences assez minimes à Safe Harbor sont directement dénoncées et de nombreux critiques suggèrent que le Privacy shield n’a de facto pas comblé plusieurs failles de protection de la vie privée.

De même, les mesures de surveillance de masse ne sont pas soumises à un critère de proportionnalité, ce qui semble être contraire au droit européen. Les Etats-Unis restent l’autorité centrale de contrôle et une enquête menée par les autorités nationales seules n’est pas suffisante. Un contrôle renforcé pour les grandes sociétés américaines du Web n’a donc pas vraiment eu lieu, alors que dans le même temps, les entreprises européennes et françaises sont soumises à de nouvelles et plus restrictives réglementations (CNIL, RDPG etc.).

Les conséquences du Privacy shield

Au sein de l’Union européenne, le Bouclier de protection des données ne constitue pas un réel changement pour de nombreuses entreprises, car les nouvelles réglementations ne contribuent que très peu à renforcer réellement la sécurité juridique. Même si les destinataires de paquets de données aux Etats-Unis peuvent se certifier eux-mêmes en suivant les nouvelles règlementations du Privacy shield, ils ne sont cependant pas à l’abri de nouvelles décisions de justice contre ce nouveau concept.

En effet, à partir mai 2018, le RGPD risque d’affecter l’ensemble des sociétés qui traitent des données de citoyens européens, dont les sociétés américaines. Ce nouveau règlement va ajouter de nouvelles obligations et sanctions notamment si le traitement n’est pas consenti ou en cas de fuite de données. Par conséquent, il est concevable que de nombreuses entreprises ne s’appuient pas sur le Bouclier de protection des données et renoncent donc aux transferts des données.

Mais le risque le plus important risque de venir du côté judiciaire. En effet, dès sa mise en place, l’organisation Digital Rights Ireland (DRI) avait déjà déposé un recours contre le Privavy shield auprès du tribunal jugeant cet accord insuffisant au niveau  de la protection de la vie privée. En France c’est l’association La Quadrature du Net qui conteste l’accord devant la CJUE. De plus on peut ajouter qu’un différend existe entre Microsoft et le département américain de la Justice, ce dernier cherche à accéder à des emails stockés en Irlande. La Cour suprême américaine vient de s’emparer du dossier.

Les discussions et débats sur l’accord Privacy shield ne risquent donc pas de retomber si rapidement. Et les entreprises qui avaient espéré une règlementation claire et protectrice au niveau juridique doivent désormais attendre la fin des recours en justice.

Et si les entreprises continuent à utiliser les clauses contractuelles types de l'UE pour le transfert de données, elles ne semblent pas plus sûres que le Safe Harbor. Les militants pour la protection des données soulignent, par exemple, que les arguments qui ont déjà fait l'objet d'un examen critique de l'accord Safe Harbor s'appliqueraient également aux clauses des règlements actuellement en vigueur en vertu du droit communautaire et ne pourraient donc pas non plus résister à un examen juridique détaillé de ces règlements.

Conclusion

Enfin, on peut conclure que le transfert de données à caractère personnel vers les États-Unis restera à l'avenir un domaine peu sûr pour les entreprises. Avec la réglementation actuelle, le transfert de données vers les États-Unis reste dans une zone d'ombre juridique. Il est recommandé aux entreprises concernées de suivre de près l'évolution de la législation relative à la protection des données. Et notamment avec l’application en 2018 du RGPD dans l’Union européenne.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.