Données personnelles , Bruxelles lance un nouveau cadre juridique pour les transferts vers les Etats-Unis

Données personnelles , Bruxelles lance un nouveau cadre juridique pour les transferts vers les Etats-Unis

Malgré le Brexit, l’Union européenne (UE) continue de travailler. Le 8 juillet, les Etats membres ont approuvé l’accord dit « Privacy Shield » (« bouclier de protection de la vie privée ») qui encadrera le transfert des données personnelles des citoyens européens vers des data centers (« centres de données ») situés aux Etats-Unis. La Commission européenne l’a adopté formellement le 12 juillet.

Privacy Shield va remplacer l’accord de « Safe Harbor », datant de 2000, invalidé par la Cour de justice de l’UE en octobre 2015, car il n’offrait pas une protection suffisante des données des citoyens européens sur le territoire américain. En fait, les négociations concernant un nouvel accord avaient commencé dès 2014, à la suite des révélations de l’ancien employé de la CIA, Edward Snowden, sur les programmes de surveillance de masse des services de renseignement des Etats-Unis.

Un mécanisme volontaire d’autocertification

Le Monde a pu consulter le texte de la « décision d’exécution » signée par la commissaire européenne chargée du dossier, la Tchèque Vera Jourova. Bruxelles y affirme avoir soigneusement étudié « les lois et les pratiques » américaines, et conclut que la dernière mouture du projet rédigé par Washington offre des garanties suffisantes.

Comme le Safe Harbor, le Privacy Shield est très souple, car il repose sur un mécanisme volontaire d’autocertification par les entreprises concernées. Cela dit, les autorités américaines s’engagent à surveiller les pratiques des sociétés bénéficiant de cet accord, à corriger les abus et à sanctionner les entreprises fautives, y compris au pénal.

La collecte des données devra correspondre aux besoins précis des sociétés. Les Européens auront la possibilité de bloquer l’utilisation de leurs données pour des utilisations non prévues au départ. Pour les données sensibles (emploi, santé, etc.), un consentement préalable sera exigé. Un citoyen européen aura le droit de consulter ses données personnelles détenues par une entreprise américaine, et si elles sont erronées, il pourra exiger qu’elles soient corrigées.

Les entreprises américaines pourront conserver les données des Européens indéfiniment, à condition de ne pas en faire un usage non prévu au départ. En ce qui concerne les décisions prises automatiquement par des ordinateurs (par exemple le rejet d’une demande de crédit, ou un profilage individuel), les Etats-Unis s’engagent simplement à évaluer l’impact de ces pratiques, à l’occasion des discussions annuelles prévues avec la Commission.

Une exception de taille

Bien entendu, le Privacy Shield prévoit une exception de taille : les services de renseignement et de police américains continueront d’intercepter et à exploiter les données personnelles venues d’Europe, notamment dans les affaires de « sécurité nationale » (contre-espionnage, terrorisme, armes de destruction massive, etc.), « d’intérêt public » et de crime organisé. Elles pourront les garder cinq ans. Au passage, dans une lettre non datée jointe au projet, le directeur du renseignement rappelle que les pays européens utilisent ces informations obtenues par les Américains pour protéger leurs propres citoyens.

La décision d’exécution de la Commission dresse la liste exhaustive des instances et des mesures techniques, administratives et judiciaires censées empêcher les Américains de répéter les pratiques révélées par Edward Snowden.

A noter cependant que la collecte massive de données restera autorisée dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable. La lettre du directeur du renseignement précise que « massive » ne signifie pas « indiscriminée » : les services de renseignement utilisent « des filtres pour minimiser la collecte de données non pertinentes ».

De son côté, si la Commission européenne s’aperçoit que les autorités américaines ne tiennent pas leurs promesses, elle se réserve le droit de prendre des mesures de rétorsion, y compris l’interruption des transferts et la dénonciation de l’accord.

Plus généralement, les Etats-Unis s’engagent à collaborer avec les agences de protection des données des pays membres de l’UE (par exemple la Commission nationale de l’informatique et des libertés, CNIL, pour la France). Pour cela, le département d’Etat va créer un poste de médiateur, chargé de recevoir et de traiter les plaintes provenant d’Européens.

En fait, les procédures de dépôt de plainte seront multiples : le plaignant pourra contacter directement l’organisme détenant ses données ou saisir le médiateur en passant par l’intermédiaire de son agence nationale, qui transmettra le dossier à Washington. Il pourra aussi faire appel à une commission d’arbitrage paritaire. En théorie, il pourrait même porter plainte ad nominem contre un fonctionnaire américain soupçonné de pratiques abusives à condition de trouver un magistrat américain qui jugera sa plainte recevable.

« Pas suffisamment robuste »

Dans un communiqué publié le 8 juillet, la Commission affirme que le Privacy Shield est « fondamentalement différent » du défunt Safe Harbor, notamment parce que les Etats-Unis ont donné leur assurance que l’accès aux données par leurs services de renseignement sera limité et contrôlé.

Elle a donc décidé d’ignorer les critiques récemment exprimées par divers responsables. En mai, le Parlement européen avait voté à une large majorité une résolution demandant une renégociation du projet. Les eurodéputés estimaient que les collectes de données prévues par le Privacy Shield n’étaient pas conformes aux principes de « nécessité et de proportionnalité », que les procédures de dépôt de plainte étaient trop complexes, et que le médiateur n’était pas réellement indépendant du gouvernement américain.

Ils remarquaient aussi que le texte se réfère à la directive européenne de 1995, et non pas au nouveau règlement sur la protection des données, plus contraignant, adopté en 2015 mais qui n’entrera en vigueur qu’en 2018.

Le contrôleur de la protection des données européen, Giovanni Buttarelli, avait estimé à la fin mai que le projet n’était « pas suffisamment robuste pour résister à un examen juridique par la Cour de justice ». En d’autres termes, selon lui, le Privacy Shield pourrait subir le même sort que le Safe Harbor.

Gare au désordre juridique

Par ailleurs, de nombreuses entreprises américaines n’ont plus besoin du Privacy Shield, car elles utilisent d’autres mécanismes juridiques, dont les « clauses contractuelles types », des accords privés bilatéraux passés entre une société européenne souhaitant exporter ses données outre-Atlantique et un prestataire américain qui va les traiter.

Or, divers responsables, notamment l’agence de protection des données d’Irlande, où des grandes sociétés comme Google ou Facebook ont installé leurs sièges européens, se demandent si ces clauses contractuelles ne risquent pas, elles aussi, d’être bientôt invalidées par la justice. On entrerait alors dans une nouvelle phase d’incertitude et de désordre juridique.

Leave A Reply