Privacy Shield – Un bouclier ou une passoire pour les données perso des européens ?

C’est la fin de l’incertitude juridique pour les entreprises, inquiètes depuis l’invalidation par la justice européenne du Safe Harbor ! C’est du moins le message que s’efforce de faire passer la Commission au travers de l’adoption du Privacy Shield ou bouclier de protection.

Depuis le début, l’exécutif joue l’optimisme, assurant notamment que la décision de la CUJE ne faisait que légitimer son travail de renégociation d’un accord avec les Etats-Unis. Les pourparlers remontaient toutefois à 2013 et ne paraissaient alors pas progresser.

Privés du Safe Harbor, US et EU ont visiblement convenu des vertus de la célérité. Mais le Privacy Shield répond-il totalement aux insuffisances relevées par les magistrats de la Cour européenne ? Nul doute que des juristes se pencheront sur le texte et en particulier sur les garanties apportées par les autorités américaines.

Des transferts « des conditions optimales ». Mais suffisantes en droit ?

En attendant, l’exécutif européen se veut serein. Le nouveau système est qualifié de « solide » et prévoyant « des normes renforcées en matière de protection des données ». Mais surtout, ces normes sont « assorties de contrôles plus rigoureux » et de « garanties en ce qui concerne l’accès des pouvoirs publics aux données ».

Enfin, le Privacy Shield définit « les possibilités simplifiées de recours pour les particuliers en cas de plainte. » La Commission européenne a relu l’arrêt de la CUJE et coche dans son communiqué les motifs qui ont valu au Safe Harbor son invalidation.

« Les flux de données entre nos deux continents sont essentiels pour notre société et pour notre économie. Nous disposons à présent d’un cadre solide garantissant que ces transferts se dérouleront dans des conditions optimales, y compris sur le plan de la sécurité » veut croire Andrus Ansip, le vice-président de la Commission.

Les intérêts économiques sont préservés. En va-t-il de même des droits des citoyens ? C’est à voir. Toutes les incertitudes n’ont pas disparu, même si la Commission assure avoir tenu compte de l’avis du G29 pour rédiger cette version finale du Bouclier. Les autorités de protection doivent encore le confirmer. Elles se prononceront le 25 juillet.

Mais l’Article 29 pourrait être bien moins emballé que la Commission, en particulier au sujet de l’accès des pouvoirs publics américains aux données des Européens. Pour l’exécutif, cet accès est « soumis à des conditions claires et à des obligations de transparence. »

L’assurance des Etats-Unis, mais pas inscrite dans la loi

Mieux, les États-Unis ont donné « ‘assurance » que cet accès « serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis ». Sauf que comme le souligne notre confrère de Rue89, ces engagements n’ont pas été transposés dans une loi américaine.

« C’est vrai qu’il serait mieux d’avoir un texte législatif » a convenu devant les parlementaires européens la commissaire Věra Jourová. Pourtant, ce point n’a rien d’un détail. Dans un communiqué, la Cnil rappelle que le G29 avait justement « déploré que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. »

Or, le texte du Privacy Shield n’exclut pas toute surveillance de masse. Les Etats-Unis s’engagent à des collectes ciblées au travers de l’utilisation de « discriminants ». Mais des raisons techniques ou opérationnelles pourraient se mettre en travers du chemin.

La promesse est la suivante : si la communauté du renseignement ne peut pas utiliser des identifiants spécifiques pour une collecte ciblée, elle cherchera à réduire celle-ci « autant que possible. »

Le Privacy Shield ne dissipe pas toutes les incertitudes. Mais le nouvel accord présente, sur le papier, au moins un avantage sur le Safe Harbor : un mécanisme de réexamen annuel conjoint. Le fonctionnement du Bouclier sera contrôlé, « et notamment le respect des engagements et des assurances concernant l’accès aux données à des fins d’ordre public et de sécurité nationale. »

Il sera donc théoriquement possible de réécrire le texte, plus tard. Les critiques sur le Safe Harbor ont cependant mis des années à être entendues, et encore seulement après une décision de justice. Les détracteurs du nouveau dispositif attendront-ils un nouveau Edward Snowden et des révélations sur les collectes massives de données des Etats-Unis avant d’engager des recours devant la CUJE ? Peut-être pas.

Go to Source