Données personnelles : le Privacy Shield, un bouclier trompe l'œil ?

Données personnelles : le Privacy Shield, un bouclier trompe l'œil ? Données personnelles : le Privacy Shield, un bouclier trompe l’œil ?

A lire aussi

L'accord US-EU Privacy Shield salué par les Cnil européennes, avis définitif en mars

Safe Harbor : lobbying à pleine vapeur avant un possible accord évolutif lundi ?

Le cadre légal du transfert de données vers les Etats-Unis invalidé par la Cour européenne de justice

La Commission européenne annonçait le 2 janvier être parvenue à un accord avec le gouvernement des Etats-Unis pour gérer les échanges de données personnelles après l’invalidation du précédent accord, Safe Harbor, par la Cour de justice de l’Union européenne en octobre dernier. A la clé, la possibilité pour les prestataires américains (Google, Facebook, Amazon, Microsoft…) de continuer à prendre en charge les données personnelles issues de l’Union européenne.

De belles promesses…

Baptisé « EU-US Privacy Shield » (« bouclier américano-européen pour la vie privée »), ce nouvel accord doit durcir le cadre réglementaire pour les entreprises américaines lorsqu’elles importent les données de citoyens européens vers les Etats-Unis. Le département du Commerce et la Federal Trade Commission (en charge du droit à la consommation et des pratiques commerciales aux Etats-Unis) seront garants des engagements de ces entreprises.

Ils se sont notamment engagés à une transparence accrue (avec une vérification conjointe EU-US annuelle débouchant sur un rapport) et à la mise en place de limites claires sur l’accès à ces données par les agences gouvernementales américaines (comme la NSA ou le FBI). Les citoyens européens pourront aussi faire valoir leurs droits en portant plainte auprès soit des entreprises elles-mêmes, soit des organismes nationaux responsables (type CNIL). Enfin, un Ombudsman fera office de médiateur pour les plaintes et autres requêtes.

…Mais rien n’est fait

Si l’accord a été salué par les CNIL européennes car il a respecté le délai imposé, son adoption est loin d’être chose faite, et sa légalité n’est pas garantie. Le texte n’a en effet pas été rendu public, et les seuls détails connus sont ceux contenus dans le communiqué de presse de la Commission européenne. La Commission a désigné deux membres de son collège, Andrus Ansip et Vera Jourovà, pour s’occuper de sa mise en place au cours des trois prochains mois. Il sera ensuite soumis à la Commission dans son ensemble, puis présenté au G29, le regroupement de toutes les CNIL européennes, et enfin proposé au gouvernement des Etats-Unis.

Au-delà du flou qui règne sur les détails, il est bon de rappeler que le Safe Harbor (« havre de sûreté »), accord passé en 2000, était très similaire à ce nouveau « bouclier ». C’était déjà un accord entre la Commission et le département du Commerce, qui reposait comme ici sur un principe d’autorégulation et de déclaration volontaire de la part des entreprises concernées, et soumis à la loi américaine. Reste donc à voir de quelle manière le Privacy Shield va se distinguer de son précécesseur dans la pratique, et si ces distinctions seront suffisantes pour en assurer la légalité auprès de la cour de justice de l’Union européenne.

Go to Source