La Commission Européenne adopte le nouveau Data Privacy Shield

La succession du Safe Harbour confirmée.

Postérieurement à l'invalidation de ce dernier par la CJUE par décision du 6 Octobre 2015, le régime s’appliquant aux données personnelles n’était autre qu’un système transitoire à valeur symbolique. Les échanges de données reposaient en effet sur les clauses types de l’Union Européenne et le consentement des usagers de sites internet dont les données étaient exploitées. Les juristes eurent tout le loisir pendant cette période de remettre en doute la valeur juridique de ces clauses et de ces consentements.

La fin de ce vide ou flou juridique serait donc désormais officiellement survenue. La « décision de conformité » européenne communiquée ce mercredi 13 Juillet fait suite à l’accord intervenu entre les parties prenantes le 2 Février 2016. Le Judicial Redress Act adopté consécutivement par le Congrès Américain le 11 Février a concouru en cette faveur.

La Commission Européenne se montre sereine quant aux dispositions de ce nouveau cadre. Selon le vice-président de la commission, celui-ci devrait permettre de mieux « protéger les données personnelles du peuple européen et de fournir aux entreprises une position claire » sur le sujet. Selon ce dernier, les flux de données échangés entre les continents européens et américains sont essentiels pour notre société et notre économie. Il justifie ainsi le remplacement de l’accord lacunaire Safe Harbour par ce nouveau « Privacy Shield ».

Les journalistes et académiciens américains ayant suivi les négociations à l’origine de ce nouveau « bouclier » lui reprochent d’être une pâle copie de son prédécesseur en lui attribuant le sobriquet de « Safe Harbour 2.0 ». Il semblerait malgré tout pessimisme que la copie soit une amélioration.

Concrètement, ce nouveau cadre repose sur :

-de solides obligations de conformité aux exigences européennes imposées aux entreprises américaines traitant ce type de données : avec intervention du Ministère américain du commerce (US Departement of Commerce) qui sera chargé d’effectuer un contrôle administratif sur ces entreprises. Les entreprises immatriculées devront se conformer aux conditions européennes de transfert des données. En cas de manquement soulevé lors des contrôles, des sanctions voire une radiation ont été prévues.

-des « garanties claires » et une obligation de transparence des autorités de police américaine quant à l’utilisation des données à des fins de surveillance. Les Etats Unis ont dû exclure la surveillance de masse ou aléatoire sur les données en provenance de l’Union et concéder à celle-ci un droit de recours en cas de doute. Cette exclusion n’est autre qu’un engagement de la part des Etats Unis à ce que leurs agences et futures administrations ne rassemblent ou ne contrôlent les données d’origine européenne sans cause. Ces « causes » ne sont toutefois pas définies. C’est peut être le point le plus sensible, à l’origine des principales polémiques dont le prédécesseur fut responsable.

En effet, la captation et l’utilisation des données à des fins de surveillance du respect des lois, ou en matière de lutte contre le terrorisme n’avaient pas été limitées par un quelconque rapport de proportionnalité. C’est précisément dans cette brèche que les agences telles que la CIA et la NSA s’étaient alors engouffrées pour utiliser insidieusement et sans limite les données via le programme PRISM dénoncé par Edward Snowden. Le Directeur de la NSA a précisé que dans le nouveau cadre, la collecte de données sera strictement conditionnée à des circonstances exceptionnelles et devra être aussi précise que possible. Le secrétaire d’Etat sera quant à lui en charge du recours européen contre les agences de renseignement américaines. Il sera intéressant de décrypter les dispositions techniques qui seront prochainement ajoutées, avant d’écarter définitivement les éventuelles brèches juridiques.

-une protection effective des droits individuels : des mécanismes de règlement des différends sont envisagés et donneront la possibilité aux individus estimant que leurs données ont été utilisées en violation de leurs droits de former un recours. Ces recours pourront être diligentés soit par l’entreprise concernée, soit via un mécanisme alternatif gratuit. La possibilité pour les ressortissants de saisir leur autorité nationale de protection des données (en l’occurrence la CNIL en France) est également prévue. Ces autorités nationales devront ainsi coopérer avec la Commission Fédérale du Commerce (Federal Trade Commission) afin de s’assurer que les plaintes des citoyens européens sont bien entendues et investiguées. Une procédure d’arbitrage sera éventuellement envisagée en dernier ressort.

-un monitoring annuel consistant en une confrontation entre les garanties défendues et la réalité de leur application. Cette évaluation sera conjointement conduite par la Commission Européenne avec le Ministère Américain du Commerce et donnera lieu à la publication d’un rapport consultable par le public. Cette nouvelle règle s’inscrit à son tour dans la démarche de transparence définie par les négociateurs européens.

Après notification aux Etats membres, cet accord produira immédiatement ses effets. La Commission prend à sa charge la publication de brochures explicatives à l’usage des citoyens européens, afin qu’ils connaissent leurs nouveaux recours. Outre Atlantique, le nouveau cadre devra faire l’objet d’une publication au registre fédéral américain. Les entreprises américaines auront jusqu’au 1er août prochain pour prendre connaissance des nouvelles règles, se mettre en conformité, et demander leur certification auprès de leur Ministère du Commerce.

Il faudra encore patienter pour commenter de manière plus intensive le successeur du tristement célèbre "UnSafe Harbour".