Privacy Shield, ou Retour vers le Safe Harbour
Le 29 février 2016, la Commission européenne a finalement présenté les documents juridiques (en anglais) relatifs au remplaçant de feu Safe Harbour, le nommé Privacy Shield. Elle a également rendu public son projet de décision sur le caractère adéquat du niveau de protection, ainsi que les différents textes qui formeront le fameux “bouclier de protection des données UE-États-Unis”.
Ces documents comprennent les éléments suivants :
- une communication de la Commission à l’attention du Conseil et du Parlement, intitulée Transatlantic Data Flows: Restoring Trust through Strong Safeguards
- une foire aux questions (FAQ)
- une fiche d’information (factsheet)
- un projet de décision sur le caractère adéquat du niveau de protection
- diverses annexes (une lettre du secrétaire du Department of Commerce, des lignes directrices de ce même département, une lettre du Secrétariat d’État relative au mécanisme d’ombudsman, une lettre de la Federal Trade Commission, une lettre du Department of Transportation, une lettre du Bureau du Directeur du Renseignement, et une lettre du Department of Justice).
Petit récapitulatif
Le Safe Harbour a été invalidé par la Cour de Justice de l’Union européenne en 2015. Cet accord permettait, à certaines conditions, aux entreprises américaines de traiter des données personnelles de citoyens européens sur sol américain, malgré l’absence d’une protection adéquate de ces données. Le droit européen, à l’instar du droit suisse, interdit la transmission transfrontière des données personnelles si le pays de destination n’offre pas un niveau adéquat de protection pour ces données.
Le système Safe Harbour reposait sur une “autocertification” mise en place par le Département américain du Commerce à laquelle les entreprises pouvaient adhérer sur une base volontaire. Si elles y adhéraient, on reconnaissait alors qu’elles respectaient les exigences européennes en matière de protection des données.
Mais le Safe Harbour a été invalidé, car aux yeux de la Cour de Justice, il n’offrait pas une protection efficace. Pour combler ce “vide juridique”, la Commission et les USA sont entrés en négociation pour mettre en place un nouveau système, qui a été rapidement présenté il y a quelques semaines : le Privacy Shield.
Y a-t-il du changement avec le Privacy Shield ?
Oui et non. Pour être tout à fait franc, l’opinion que j’avais exprimée ici il y a un gros mois ne change pas beaucoup après avoir parcouru les différents documents juridiques. Il y a des améliorations, mais elles semblent surtout cosmétiques.
Il faut d’abord reconnaitre que les documents juridiques publiés et le projet de décision sont beaucoup plus longs que les précédents qui étaient assez avares en détails.
Le processus d’autocertification demeure, à la différence que les entreprises devront faire état de la manière utilisée pour vérifier qu’elles sont conformes à la législation européenne. Les preuves de cette vérification devront être jointes à la demande de certification. Cela signifie que les entreprises qui bénéficiaient du Safe Harbour à l’époque ne seront pas automatiquement certifiées pour le Privacy Shield.
Les citoyens européens auront des moyens juridiques à leur disposition pour se plaindre d’une éventuelle violation de leurs droits. Ils pourront s’adresser à l’entreprise directement, à un ombudsman, à leur autorité (nationale ou régionale) de protection des données, au Département US du Commerce, à la Federal Trade Commission. En dernier recours, ils pourront demander un arbitrage qui liera les parties. Un délai de 45 jours sera octroyé à l’entreprise qui reçoit une plainte, ce qui signifie qu’elle devra (en théorie) être au courant des mécanismes et du droit en vigueur.
À l’instar de la certification qui devra être repassée par toutes les entreprises, les fameuses “privacy policies” et autres documents juridiques qui faisaient référence au Safe Harbour devront être réaménagées et complétées, car les entreprises devront communiquer beaucoup d’informations aux citoyens européens, notamment le droit de plainte, le but du traitement de données, les données personnelles traitées, la participation au Privacy Shield, etc.).
Les entreprises devront requérir un consentement exprès avant qu’elles ne communiquent des données sensibles à des tiers ou qu’elles ne les utilisent à d’autres fins que celles annoncées lors de leur collecte. Cela forcera les entreprises (consciencieuses) à se demander quel type de données elles traitent, car la définition des données sensibles est plus large qu’on ne le pense.
Un gros travail devra également être entrepris en relation avec le Accountability for Onward Transfers principle. Cela signifie que les sociétés certifiées qui transfèrent des données de citoyens européens à des délégataires de traitement devront s’assurer que ces derniers ne traitent les données que pour des buts spécifiques et limités, et qu’ils fournissent le même niveau de protection exigé par le Privacy Shield. Par ailleurs, les entreprises devront prendre les mesures raisonnables et appropriées pour vérifier le respect de ces incombances par les délégataires, ce qui signifie qu’elles devront les auditer.
Ces divers éléments sont positifs pour les citoyens. Pour les entreprises, évidemment que la perspective de toute cette paperasse n’est pas réjouissante. Mais il y a encore un gros point noir au tableau. Max Schrems a réussi à faire invalider le Safe Harbour “grâce” à la surveillance de masse opérée notamment par la NSA. On devrait donc s’attendre à ce que le Privacy Shield traite cet élément.
Malheureusement non. C’est pourtant un problème fondamental. Le Privacy Shield repose sur des garanties des autorités américaines et sur l’interprétation du terme “surveillance de masse” dont la définition diffère entre la Cour de Justice, les autorités américaines et… la réalité du terrain. Par exemple, selon les autorités américaines, une telle surveillance n’existe que quand on accède effectivement aux données collectées, pas quand on ne fait que les collecter (sans les utiliser).
Il n’y aurait apparemment que six cas dans lesquels les autorités américaines (surtout la NSA) seraient explicitement autorisées à utiliser les données collectées :
- détecter et empêcher des activités de puissances étrangères
- contre-terrorisme
- contre-prolifération
- cybersécurité
- détecter et empêcher des menaces visant les forces armées américaines ou alliées
- combattre les menaces criminelles transnationales, y compris la soustraction à une sanction.
Alors que l’administration Obama envisage la possibilité pour la NSA de partager avec d’autres agences gouvernementales les données qu’elle collecte (et sans retirer les informations d’identification), le Privacy Shield ne traite aucunement cet aspect de la situation qui ne préoccupe pas outre mesure la Commission européenne.
Et maintenant ?
Selon le communiqué de presse de la Commission, la décision finale doit être adoptée par le Collège des commissaires européens, après consultation d’un comité composé de représentants des États membres et après avis des autorités européennes chargées de la protection des données (le groupe de travail “Article 29”). Dans l’intervalle, les États-Unis prendront les dispositions nécessaires à la mise en place du nouveau cadre, des mécanismes de contrôle et du nouveau mécanisme de médiation.
Suite à l’adoption du Judicial Redress Act (loi sur le recours juridictionnel), promulgué le 24 février 2016 par le président américain, la Commission va proposer sous peu la signature de l’accord-cadre. La décision sur la conclusion de l’accord devrait être adoptée par le Conseil après approbation du Parlement européen.
Mais malgré cela, il n’est pas impossible que le Privacy Shield soit rapidement contesté en justice…
Franchement, qui voudrait d’un bouclier en papier ?