Montjoie ! Le bouclier de protection des données UE-États-Unis

L'accord Privacy shield, traduit le bouclier de protection des données, est un accord entre l’Union européenne et les États-Unis dont le but est de permettre aux entreprises de transmettre et de transférer aux États-Unis des données concernant des citoyens européens. 

Pour rappel, en matière de protection des données à caractère personnel, le droit européen impose que le transfert des données à caractère personnel hors Union européenne n'est possible que si le pays assure un niveau de protection suffisant à l’égard de ce transfert¹. Ainsi, les entreprises sont seulement autorisées à transférer des données personnelles à un pays qui garantit un niveau de protection des données adéquat. 

Le Privacy Shield est supposé fournir les règles juridiques du cadre garantissant la protection nécessaire et suffisante des données. 

L'objectif premier de cet accord est de contribuer à restaurer la confiance dans les flux de données transatlantiques. En effet, cette confiance a été entachée suite aux révélations Snowden et définitivement remise en cause avec la décision du 6 octobre 2015² de la cour de justice de l'union européenne (CJUE) invalidant l'accord Safe Harbor, le premier accord qui constatait en 2002 que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées. Cette décision intervient, suite à un renvoi préjudiciel d'une juridiction irlandaise, au sujet de la requête d'un citoyen autrichien. Maximillian Schrems considérait que, les données transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles faisaient l’objet d’un traitement, ne respectaient pas la législation européenne sur la protection des données à caractère personnel.

La CJUE a notamment estimé qu’une « règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée tel que garanti par l’article 7 de la Charte ».

Par cette décision, la CJUE exige donc indirectement une renégociation avec les Etats-Unis pour qu'ils assurent, de par leur législation interne ou leurs engagements internationaux, un niveau de protection adéquat.

Ainsi, prévenir une utilisation massive et arbitraire des informations à caractère personnel devient la priorité du nouveau projet Privacy Shield. Ce dernier présente les garanties suivantes :

1. la soumission des entreprises à certaines obligations, assorties de sanctions le cas échéant, notamment la déclaration de la totalité de la chaîne de sous-traitants. Ces obligations font écho aux futures obligations prévues dans le futur règlement européen sur la protection des données personnelles.

2. l'encadrement de l'accès, par les autorités américaines, aux données à des fins de sécurité nationale grâce à des conditions et des mécanismes de supervision bien définis, empêchant un accès généralisé aux données personnelles. Les Etats Unis se sont engagés à établir une possibilité de recours pour les citoyens de l’UE dans le domaine spécifique du renseignement national, par la présence d'un mécanisme de médiation qui sera indépendant des services de sécurité nationaux incarné par la personne d'un médiateur.

3. de multiples possibilités de recours pour les citoyens : les consommateurs pourront interroger les entreprises sur la gestion de leurs données, sans réponse ou en cas de réponse non satisfaisante de l'entreprise sous 45 jours, ils pourront enclencher un mécanisme de règlement extrajudiciaire des litiges sans frais. De plus, les citoyens de l’UE pourront également s'adresser à leur autorité nationale chargée de la protection des données, qui collaborera avec la Commission fédérale du commerce.

4. un mécanisme de réexamen annuel conjoint prévu entre la Commission européenne et le ministère américain du commerce afin d'évaluer le fonctionnement de la réglementation, qui s’appuiera sur toutes les autres sources d’information disponibles, y compris les rapports de transparence publiés par les entreprises. Sur la base du réexamen annuel, la Commission adressera un rapport public au Parlement européen et au Conseil.

Ce réexamen annuel démontre que les parties s'attachent à la fois aux principes énoncées mais également à leur application dans la durée soit la raison d'être de toute réglementation.

Le projet suscite les critiques de certaines associations citoyennes qui craignent que le  Privacy Shield  ne protègent pas suffisamment les droits fondamentaux des Européens au regard des exigences communautaires des données personnelles.

De façon plus générale, il est intéressant de voir que les transferts des données entre pays entraînent de plus en plus de conflits de lois. D'une part, les échanges d'information extra territoriaux deviennent indispensables notamment pour l'entraide judiciaire, et, d'autre part, les pays adoptent des lois contraignantes en matière de localisation et de conservation des données.

Le projet est quasiment finalisé même s'il doit encore passer sous les fourches caudines des différentes CNIL européennes qui doivent encore  publier une opinion, non contraignante, sur le projet d’accord le 13 avril.

En principe et selon Günther Oettinger, commissaire en charge des sociétés numériques, l’accord devrait entrer en vigueur en juin.

Ce temps des négociations et du processus législatif européen de discussion a fait apparaître un vide juridique. Toutefois, en attendant, les sociétés peuvent toujours exploiter d’autres mécanismes encadrant les transferts de données tels les clauses contractuelles types et les codes de conduite interne d’entreprise, Binding Corporate Rules³.

Le Sénat américain a aussi validé, récemment, le Judicial Redress Act, loi sur le recours juridictionnel, une loi autorisant les Européens qui contestent l’exploitation de leurs données outre-Atlantique à saisir la justice américaine⁴.

Notes de bas-page

1 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données(JO L281, p.31) transposé à l'article 68 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

2 http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

3 https://www.cnil.fr/sites/default/files/typo/document/CNIL-transferts-BCR.pdf

4 http://www.developpez.com/actu/95974/Le-Senat-americain-adopte-le-Judicial-Redress-Act-permettant-aux-Europeens-de-contester-l-utilisation-de-leurs-donnees-devant-des-tribunaux-aux-E-U/