Contenu

EU-US Privacy Shield : une grande farce ?

L’accord Safe Harbor permettant de transférer des données personnelles depuis la Suisse et l’Union européenne vers les États-Unis est mort en 2015, grâce à la Cour de Justice de l’Union européenne et à un jeune étudiant autrichien, Max Schrems, indirectement aidé par Edward Snowden et ses révélations sur la surveillance de masse.

Rappel des faits

La guillotine est tombée le 6 octobre 2015, et aussitôt après, le Groupe de travail Article 29 (G29) a déclaré que les négociations pour un nouvel accord devaient aboutir d’ici à la fin du mois de janvier 2016, sinon les autorités nationales de protection des données se coordonneraient et prendraient des mesures visant à interdire les transferts de données avers les États-Unis. Plusieurs autorités avaient pris les devants et fait notifier aux maîtres de fichier une information selon laquelle le Safe Harbor ne pouvait plus servir de base juridique aux transferts de données et qu’il fallait trouver une alternative s’ils voulaient continuer ces transferts.

Le 2 février 2016, les négociations ont abouti (après un premier échec) et les fondations d’un nouvel accord ont pu être posées. Auparavant, Mme Jourová (Commissaire européenne à la Justice, aux Consommateurs et à l’Égalité des genres) s’était adressée à la Commission LIBE (Libertés civiles, justice et affaires intérieures). Elle avait alors mentionné quatre points sur lesquels il fallait trouver une solution raisonnable afin d’éviter une nouvelle invalidation par la CJUE.

  1. Accès aux données par les autorités européennes et américaines
  2. Surveillant indépendant pour répondre aux plaintes des citoyens européens (ombudsman)
  3. Règlement des plaintes contre les sociétés en cas de violation de la loi
  4. Signature de l’accord (qui doit être contraignant pour les États-Unis) par les plus hautes autorités

Dans la conférence de presse du 2 février 2016, M. Ansip (Vice-président de la Commission) a déclaré :

Nous nous sommes accordés sur un nouveau cadre solide pour les flux de données vers les États-Unis. Nos concitoyens peuvent avoir la certitude que leurs données à caractère personnel seront bien protégées. Nos entreprises, notamment les plus petites, bénéficieront de la sécurité juridique dont elles ont besoin pour développer leurs activités de l’autre côté de l’Atlantique. Nous avons le devoir de nous assurer du bon fonctionnement du nouveau dispositif et de veiller à ce qu’il tienne ses promesses sur la durée. La décision prise aujourd’hui nous aidera à créer un marché unique du numérique dans l’Union, un environnement en ligne fiable et dynamique; elle renforce encore notre partenariat privilégié avec les États-Unis. Nous allons maintenant œuvrer pour mettre ce cadre en place dès que possible.

Quant à Mme Jourová, elle s’est exprimé en ces termes :

Le nouveau dispositif protégera les droits fondamentaux des citoyens européens lorsque leurs données à caractère personnel seront transférées vers des entreprises américaines. Pour la toute première fois, les États-Unis ont formellement garanti à l’Union que l’accès des autorités publiques à des fins de sécurité nationale sera subordonné à des conditions, des garanties et des mécanismes de supervision bien définis. Pour la première fois également, les citoyens de l’Union disposeront de voies de recours dans ce domaine.Dans le contexte des négociations sur cet accord, les États-Unis ont donné l’assurance qu’ils ne se livraient à aucune surveillance de masse à l’égard des Européens. Enfin, l’accord prévoit un réexamen annuel conjoint afin de suivre de près la mise en œuvre de ces engagements.

Bouclier…

Le nouveau dispositif, appelé “EU-US Privacy Shield” intégrera les éléments suivants (en principe) :

des obligations strictes pour les entreprises qui traitent des données à caractère personnel européennes, et un contrôle rigoureux : les entreprises américaines qui souhaitent importer des données à caractère personnel provenant d’Europe devront s’engager à respecter des conditions strictes quant au traitement de ces données et garantir les droits des individus. Le ministère américain du commerce veillera à ce que les entreprises publient leurs engagements, ce qui les rendra opposables au regard de la loi américaine et permettra à la FTC de contraindre les entreprises à les respecter. Par ailleurs, toute entreprise traitant des données provenant d’Europe relatives aux ressources humaines devra s’engager à se conformer aux décisions des autorités européennes chargées de la protection des données ;

un accès par les autorités américaines étroitement encadré et transparent: pour la première fois, les États-Unis ont garanti par écrit à l’Union européenne que l’accès par les autorités publiques américaines à des fins d’ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties bien définies. De telles exceptions devront être appliquées de manière proportionnée, et uniquement dans la mesure où elles sont nécessaires. Les États-Unis ont exclu qu’une surveillance de masse soit exercée sur les données à caractère personnel transférées vers les États-Unis dans le cadre du nouveau dispositif. Pour contrôler régulièrement le fonctionnement de l’accord, un réexamen conjoint aura lieu tous les ans, qui portera également sur la question de l’accès à des fins de sécurité nationale. Ce réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels inviteront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données à y participer ;

une protection effective des droits des citoyens de l’Union et plusieurs voies de recours : tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du nouveau dispositif aura plusieurs possibilités de recours. Les entreprises devront répondre aux plaintes dans des délais définis. Les autorités européennes chargées de la protection des données pourront transmettre des plaintes au ministère américain du commerce et à la FTC. Le recours aux mécanismes de règlement extrajudiciaire des litiges sera gratuit. Pour les plaintes concernant un éventuel accès par des services de renseignement nationaux, un nouveau médiateur sera institué.

Pour l’instant, seul le cadre a été défini. Aucun texte juridique n’a été publié, l’accord n’est que politique et n’est donc pour l’instant pas contraignant. Mais il permet de savoir dans quelle direction vont les négociations.

Suite à cette annonce, le G29 a déclaré que les transferts de données personnelles vers les États-Unis pourraient continuer, bien qu’ils soient illégaux s’ils ne se fondent que sur le Safe Harbor. Il exige de la Commission européenne que tous les documents relatifs à ce nouveau cadre juridique lui soient transmis d’ici à fin février 2016. Les alternatives (juridiques) au Safe Harbor sont les clauses contractuelles types, les règles créées entre groupes d’entreprises (BCR, Binding Corporate Rules) et le consentement de la personne concernée (qui ne vaut que pour des transferts ponctuels).

… à toute épreuve ?

Le vrai problème ici est la surveillance de masse. Si elle n’existait pas, si les autorités en étaient encore à faire de la surveillance ciblée, si elles devaient obtenir un mandat d’un juge après avoir expliqué pourquoi cette surveillance ciblée est nécessaire, si elles devaient rendre des comptes, si leurs méthodes étaient transparentes, si elles étaient surveillées, l’Union européenne et les États-Unis n’en seraient pas là aujourd’hui, à essayer de signer un nouvel accord.

Le nom de l’accord “Privacy Shield” est aussi inadéquat que l’était “Safe Harbor”.

Alors que la version française du communiqué de presse (ci-dessus) déclare que “les États-Unis ont exclu qu’une surveillance de masse soit exercée sur les données à caractère personnel”, la version anglaise ajoute un adjectif qui change tout : “the U.S. has ruled out indiscriminate mass surveillance on the personal data”. On peut déjà se demander comment la NSA & Consorts vont interpréter ce mot et quelle quantité de données sera collectée grâce à lui.

La possibilité de recourir à un ombudsman est louable sur le papier, mais quel sera son véritable pouvoir face à des agences comme la NSA ? Son pouvoir de contrôle sera sans doute inexistant au vu de la capacité de la NSA à cacher des choses, y compris à ses propres organes de surveillance. Il est très improbable que les États-Unis soient d’accord de donner à cet ombudsman les pouvoirs dont il a besoin pour protéger les données personnelles et les droits des citoyens européens (et suisses).

Il est inutile de négocier et signer un accord qui cherche à trouver un moyen pour transférer des données aux États-Unis sans régler le problème de la surveillance de masse. Personne, pas même moi, n’a envie que la CJUE se mêle à nouveau à cette affaire et invalide encore le nouvel accord.

Les États-Unis assomment les autorités européennes avec une montagne de petits changements qu’ils sont prêts à faire, mais aucun n’est vraiment significatif. Ils n’ont pas non plus effectué de modifications dans leur droit interne pour se mettre au niveau des standards européens. Même le Judicial Redress Act (en cours d’adoption au Congrès américain) ne devrait pas changer grand-chose, car il ne devrait pas permettre aux Européens d’ouvrir action aux États-Unis.

De nombreuses personnes s’accordent à dire qu’il faudrait ouvrir de nouveaux data centers en Europe et traiter les données localement plutôt que de les transférer à l’étranger. Cependant, une telle solution mettrait à mal la concurrence dès lors que seules de très grosses sociétés disposant de moyens colossaux pourraient sans problème survivre avec de telles contraintes. Les plus petits poissons ne le pourraient sûrement pas. Et cette solution poserait potentiellement des problèmes supplémentaires concernant le droit applicable et les juridictions à saisir en cas de litige.

Le fait que l’accord devrait prévoir qu’il soit réévalué chaque année est une bonne chose, sur le papier. Car s’il est adopté sur la base de la situation actuelle (qui est plutôt amenée à empirer, la sphère privée cédant chaque jour du terrain), il ne parait pas raisonnable de croire qu’il sera dénoncé ou modifié dans un sens qui ne convient pas aux États-Unis si la situation ne s’améliore pas.

En résumé, il n’y a aujourd’hui aucun accord. Les données transférées vers les États-Unis le sont parfois dans la plus complète illégalité. La surveillance de masse continue. Les (louables) intentions formulées par les deux parties à ce nouvel accord en devenir n’auront sans doute pas l’effet qu’on espère. Et les autorités de protection des données sont dans le brouillard.

Avant même qu’on en ait lu le contenu, cet accord ressemble déjà à une farce.