Nouvel accord euro-américain “EU-US privacy shield”

USA and EU flags. Trans Atlantic cooperation conceptual image

Auteure: Nastassia De Baere, Étudiante au cours de DRT6929E

La Cour de justice de l’Union européenne a invalidé, le 6 octobre 2015, l’accord « Safe Harbor » qui encadrait l’utilisation des données des internautes européens par de multiples entreprises américaines, dont les plus importantes du web.

L’article 25 de la directive 95/46/CE du 24 octobre 1995 qui interdit, en principe, le flux de données personnelles vers des Etats qui ne garantissent pas un niveau de protection adéquat, aurait provoqué un blocage des échanges internationaux étant donné que les Etats-Unis ne disposent pas d’un système juridique suffisamment protecteur. C’est ainsi qu’a été adopté l’accord « Safe Harbor » en tant qu’une des solutions de contournement à cette interdiction prévue à l’article 25 de la directive 95/46/CE du 24 octobre 1995.

L’invalidation de cet accord par la Cour se base sur divers reproches ayant pu été formulés à son égard.

La Cour pointe premièrement la problématique de la mise à disposition des données personnelles des Européens aux agences de renseignement américaines qui porte « atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». Or, les autorités de protection des données personnelles ont pour mission de contrôler et de sanctionner la manière dont les données personnelles des Européens sont traitées.

Ensuite, la Cour relève l’absence de recours des citoyens européens pour contester l’utilisation de leurs données personnelles aux Etats-Unis.

Enfin, la Cour reproche sévèrement à la Commission qui « était tenue de constater que les Etats-Unis assurent effectivement un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union », de ne pas avoir opéré ce constat lorsqu’elle a noué l’accord « Safe Harbor » avec les Etats-Unis.

Dès lors que l’accord « Safe Harbor » permettait le transfert des données des Européens vers les Etats-Unis tant qu’une protection adéquate, à savoir une protection équivalente à celle qu’offre le droit européen, la Cour a décidé que la surveillance exercée par les agences de renseignement américaines et révélée par les documents Snowden rendait caduc cet accord.

Les entreprises bénéficiaient, jusqu’au 2 février 2016, d’une période transitoire pendant laquelle ils avaient la faculté de poursuivre leur activité en attendant qu’un nouvel accord soit adopté. Les négociateurs ont donc bataillés jusqu’au dernier moment pour s’entendre sur les premières bases du nouveau régime juridique de transfert des données, baptisé « bouclier de confidentialité » ou « EU-U.S. privacy shield », et adopté ce mardi 2 février 2016.

Ce nouvel accord euro-américain ne consiste toutefois pas en un texte juridique contraignant mais en une déclaration d’intention politique prévoyant que « Les compagnies américaines souhaitant importer des données personnelles d’Europe devront respecter de solides obligations sur la façon dont les données personnelles seront traitées et les droits individuels garantis ». 

La commissaire européenne Vera Jourova et le vice président Andrus Ansip ont été chargés de préparer les étapes nécessaires à la mise en œuvre de l’accord et de rédiger un projet de décision d’adéquation dans les prochaines semaines. Ce dernier devra alors être adopté par le Collège, après avis du G29, permettant ainsi l’entrée en vigueur du Privacy Shield.

Ce nouveau régime prévoit divers mécanismes de protection.

Il est question d’instaurer des voies de recours tant au niveau européen qu’américain ainsi qu’un système d’arbitrage pouvant être déclenché en dernier recours. Un médiateur spécial, ayant pour mission traiter les dossiers de plaintes pour accès abusif aux données d’un citoyen européen par un service de renseignement américain, sera également créé.

Par ailleurs, la révision annuelle conjointe du dispositif permettant d’observer l’efficacité du bouclier au fil du temps constitue, sans conteste, un réel progrès par rapport à l’ancien Safe Harbor.

La grande déception du nouveau régime découle assurément du fait que les données des Européens ne pourront être exclues des données auxquelles les services de renseignement ont accès. Les Européens ne pourront que contester l’utilisation illégale de leurs données, encore faut-il pouvoir la démontrer. L’on peut donc reprocher l’intervention exclusivement a posteriori du nouveau régime.

Par ailleurs, le Privacy Shield reposant sur la même raisonnement juridique que l’ancien Safe Harbor, les Etats-Unis ne modifient pas leurs lois, seules les sociétés privées s’engagent à offrir une protection « adéquate » aux données européennes. Juridiquement, il serait préférable que les Etats-Unis adoptent une nouvelle législation offrant plus de protection aux données personnelles des Européens, mais politiquement, cette voie semble longue et ardue.

La commissaire européenne Vera Jourova se montre plutôt optimiste à l’égard du nouveau cadre qui devrait, selon elle, satisfaire à la fois la Cour de justice de l’Union européenne et devrait être compatible avec le projet de règlement européen de protection des données personnelles au sein de l’Union européenne.

Quant à la secrétaire américaine au commerce, Penny Pritzker, elle insiste sur les aspects commerciaux pour qualifier le nouvel accord d’ « accord historique » qui « aidera à la croissance de l’économie numérique en garantissant que des milliers d’entreprises européennes et américaines, et des millions de particuliers, continuent à avoir accès aux services en ligne »

Le nouvel accord transatlantique est néanmoins fortement critiqué comme étant purement politique et insuffisant.

Le député vert allemand Jan Philipp Albrecht, rapporteur du grand projet de règlement européen sur la protection des données, affirme que les progrès par rapport au Safe Harbor sont quasiment inexistants, récrimine le fait que les Etats-Unis ne prennent aucun engagement juridiquement contraignant et enfin, que le médiateur sera dépourvu de réels pouvoirs. Ces reproches sont partagés par l’autrichien Max Schrems qui est à l’origine de l’annulation du Safe Harbor de par sa plainte déposée contre Facebook.

Selon certains, il y a de nombreuses zones d’ombres qui subsistent, telles que l’éventuelle remise en cause par certaines autorités européennes des clauses contractuelles types pour le transfert de données vers les Etats-Unis.

 

This content has been updated on February 9, 2016 at 13 h 34 min.