Le 2 février 2016, la Commission européenne a annoncé qu’elle avait trouvé un accord avec les Etats-Unis sur un nouveau dispositif destiné à encadrer l’importation par les entreprises américaines de données de citoyens européens et l’accès à ces données par les autorités publiques américaines.

Baptisé "EU-US Privacy Shield", "le nouveau cadre légal pour le transport transatlantique de données protège les droits fondamentaux des Européens et assure une sécurité juridique aux entreprises", se réjouit le communiqué de presse publié par la Commission européenne.

Une conséquence de l’arrêt Schrems

Par l’arrêt Schrems du 6 octobre 2015, la Cour de justice de l'UE avait invalidé la "décision d’adéquation" du 26 juillet 2000 appliquant l’accord dit "Safe Harbour" ("sphère de sécurité"), qui encadrait jusque-là ces transferts "commerciaux" de données.

La CJUE avait estimé que, dans sa décision, la Commission n’avait pas opéré le constat, auquel elle était tenue par la directive sur la protection des données, que les États-Unis assurent effectivement un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union. Elle s’était bornée à examiner le régime de la sphère de sécurité, déplorait la CJUE, dans son communiqué de presse.

Or, le régime prévu dans Safe Harbour n’était applicable qu’aux entreprises américaines qui y souscrivent, sans que les autorités publiques y soient elles-mêmes soumises. De plus, les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité, si bien que les entreprises américaines sont tenues d’écarter, sans limitation, les règles de protection prévues par ce régime, lorsqu’elles entrent en conflit avec de telles exigences, constatait la CJUE, en déduisant que "Safe Harbour rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, la décision de la Commission ne faisant état ni de l’existence, aux États-Unis, de règles destinées à limiter ces éventuelles ingérences ni de l’existence d’une protection juridique efficace contre ces ingérences".

La Cour relevait qu’une règlementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective.

Enfin, la Cour constatait que par sa décision du 26 juillet 2000, la Commission avait outrepassé ses compétences en y privant les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Après que cet arrêt a été rendu, le 9 octobre 2015, les ministres de la Justice de l'UE avaient débattu de ses retombées. Le ministre luxembourgeois de la Justice, Félix Braz avait évoqué un arrêt "particulièrement important pour les droits fondamentaux en Europe, avec un impact certain pour le monde économique" et parlé d’un "message fort au monde concernant le respect du droit à la protection des données personnelles en Europe".

La commissaire européenne en charge de la Justice Věra Jourová avait alors souligné la nécessité d’un "Safe Harbour plus sûr", poursuivant trois priorités : garantir que les données des citoyens soient protégées efficacement lors de leur transfert vers les Etats-Unis, garantir la poursuite des transferts de données vers les Etats- Unis, ceux-ci constituant "l’épine dorsale de notre économie", et assurer la cohérence et la coordination avec les autorités de contrôle nationales.

Le 16 octobre 2015, les autorités nationales de protection des données réunis au sein du groupe Article 29 avaient imposé aux deux parties le délai de la fin du mois de janvier pour mettre en place un nouveau dispositif. Sans quoi, elles mèneraient des "actions coordonnées d’application de la loi", comme le disait leur prise de position. "Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes", avaient-elles prévenu.

Dans une communication du 6 novembre 2015 qui devait éclairer la situation juridique du transfert de données suite à l’arrêt Schrems, la Commission européenne avait dit sa volonté d’arriver à un nouvel accord vue comme "la solution la plus globale pour assurer une réelle continuité de la protection des données des citoyens de l’UE quand elles sont transférées aux USA".

Le contenu du nouveau dispositif

Le Collège des commissaires a mandaté le vice-président de la Commission européenne Andros Ansip et la Commissaire Věra Jourová pour la rédaction dans les prochaines semaines d’un projet de “décision d’adéquation” pour l’application du nouvel accord. Cette décision serait adoptée par le Collège après avis du groupe de Travail Article 29 et consultation d’un comité composé de représentants des Etats membres.

Le nouvel accord comporte les trois éléments principaux suivants :

- Des obligations fortes sur le traitement des données par les entreprises : Les entreprises américaines qui désireraient importer des données personnelles d’Europe devront s’engager à respecter des obligations rigoureuses sur la manière dont les données personnelles sont traitées et dont les droits individuels sont garantis. Le département du Commerce vérifiera que les entreprises publient leurs engagements, ce qui les rend opposables sous la loi américaine par la Commission fédérale du Commerce (FTC) des Etats- Unis. Chaque entreprise devrait également se conformer aux décisions des autorités européennes de protection des données.

- Des garde-fous clairs et des obligations de transparence sur l’accès du gouvernement américain aux données: Pour la première fois, les USA ont donné des garanties écrites à l’UE que l’accès des autorités publiques pour les besoins de l’application de la loi ou pour des raisons de sécurité nationale seront sujettes à des limitations claires, des garde-fous et des mécanismes de supervision. Ces exceptions doivent être utilisées dans le respect de la nécessité et de la proportionnalité. Les USA excluraient ainsi toute surveillance de masse indiscriminée par ce nouveau dispositif. Pour vérifier régulièrement le fonctionnement du dispositif, il y aura une révision conjointe annuelle, qui traitera également de la question de l’accès pour cause de sécurité nationale. La Commission européenne et le département américain du Commerce conduiront la révision et inviteront les experts nationaux des services d’intelligence des autorités de protection des données européennes et américaines.

- La protection effective des droits des citoyens européens par plusieurs mécanismes de recours

"Nous travaillons à un mécanisme garantissant que chaque plainte individuelle soit résolue, d'une manière ou d'une autre: idéalement, comme l'a montré l'expérience, la plainte serait réglée par l'entreprise elle-même", a dit la commissaire européenne Věra Jourová, lors de la présentation de l’accord. Tout citoyen qui considère que ses données ont été traitées abusivement dans le nouveau dispositif aura donc plusieurs options.

Si l’entreprise ne règle pas elle-même le litige, il sera possible de recourir à des solutions de règlement extrajudiciaire des différends qui seront gratuites.  Les citoyens pourront également s’adresser aux autorités européennes de protection des données qui se chargeraient de transmettre leur plainte et de suivre le traitement de celle-ci dans un délai raisonnable auprès du Département du commerce et de la FTC. ¶

Une des principales innovations réside dans la nomination d’un médiateur ("Ombudsperson" dans le texte) américain, indépendant des services américains de renseignement, qui sera en en charge de traiter des plaintes sur l’accès aux données par les autorités nationales de renseignement.

"Pour la première fois, les USA ont donné à l’UE les assurances contraignantes que l’accès aux données par les autorités publiques pour des raisons de sécurité nationale seront sujettes à de claires limitations, à des garde-fous et à des mécanismes de surveillance. Aussi, pour la première fois, les citoyens européens bénéficieront de mécanismes de recours en la matière", s’est félicité le vice-président de la Commission européenne, Andrus Ansip.

"Nos citoyens peuvent être sûrs que leurs données personnelles sont pleinement protégées. Nos entreprises, particulièrement les plus petites, ont la sécurité juridique dont elles ont besoin pour développer leurs activités outre-Atlantique", a-t-il ajouté. "La décision d’aujourd’hui nous aide à construire un marché unique numérique dans l’UE."

Dans un communiqué diffusé le 3 février 2016, la Commission luxembourgeoise pour la protection des données (CNPD) et ses homologues européens réunis au sein du groupe de travail Article 29 ont salué la conclusion des négociations qui respecte le délai qu’ils avaient fixé le 16 octobre 2015. Le groupe attend désormais de connaître précisément le contenu et le caractère juridiquement contraignant de l’accord afin de définir s’il répond aux vastes préoccupations élevées par l’arrêt Schrems. Il demande à la Commission de lui fournir tous les documents pertinents au sujet du nouvel accord avant la fin du mois de février 2016.

Des réactions politiques sceptiques

Le 1er février 2016, la commissaire européenne en charge de la Justice avait rencontré les membres de la Commission LIBE au sujet du nouvel accord. Dès sa présentation, le lendemain, l’eurodéputé vert/Ale, Jan Philipp Albrecht, ancien rapporteur du Parlement pour la réforme de la protection des données, a publié un communiqué dans lequel il déplore que "la Commission brade le droit fondamental européen à la protection des données".

"C’est un affront de la Commission européenne vis-à-vis de la Cour de Justice et des consommatrices et consommateurs en Europe. Elle ne prévoit pas d’améliorations juridiquement contraignantes, mais uniquement une déclaration du gouvernement américain sur l’interprétation de la situation légale lors de la surveillance par les services secrets américains, ainsi qu’un Ombudsman certes indépendant mais visiblement sans pouvoir, qui doit recevoir les plaintes des personnes dans l’UE", juge-t-il.

L’eurodéputé écologiste estime que le Parlement européen et les autorités de protection des données doivent désormais "affirmer clairement, qu’une déclaration aussi ouvertement contraire au droit ne peut avoir cours". Il pense que "si elle devait malgré cela être adoptée telle qu’elle est annoncée, il est à prévoir que les autorités de protection des données, utiliseront leurs nouveaux droits, contenus dans l’arrêt de la Cour, et examineront les transferts de données en fonction de mesures de sécurité qui seraient encore à envisager".

Jan Philipp Albrecht ne doute de toute façon pas du sort réservé par la CJUE à ce texte. "Selon toute vraisemblance, le nouveau cadre juridique sera de nouveau porté devant la Cour de justice de l’UE, et rejeté. Il est totalement évident que ses exigences ne sont pas remplies."

L’eurodéputée ADLE Sophie in ’t Veld, première vice-présidente et porte-parole de son groupe politique pour la protection des données, estime qu’"il faut, de toute urgence, une évaluation juridique approfondie des garanties offertes par les États-Unis. Le statut juridique de ces mesures de sauvegarde est flou. Il est très peu probable qu’elles offrent une protection significative pour les citoyens européens, ou qu’elles soient conformes aux normes fixées par la Cour de justice européenne", déclare-t-elle dans un communiqué de presse. "Les assurances semblent se fonder exclusivement sur l'engagement politique, au lieu d'actes juridiques. Ainsi, tout changement dans la constellation politique aux États-Unis peut tout réduire à néant". "Si les garanties ne sont pas suffisantes, il y aura une multitude de procès. Ce n'est pas une façon sérieuse de faire respecter la loi". 

Elle doute également de l’intérêt des évaluations conjointes. "Nous savons par expérience (avec les accords PNR et SWIFT) que dans la pratique, [elles] sont totalement inefficaces", dit-elle. Quant au médiateur, "il est très improbable qu'un médiateur soit doté de pouvoirs suffisants pour superviser les services de renseignement américains."

Les Socialistes et Démocrates soulignent l’importance qu’un accord ait été trouvé, mais émet de sérieuses réserves sur son contenu, en particulier parce qu’il ne s’attaque pas aux problèmes du précédent accord déclaré illégal par la Cour de justice.

La porte-parole du groupe S&D pour les libertés civiles, la justice et la politique intérieure, Birgit Sippel pense ainsi qu’ "à moins que des améliorations lui soient portées, l’accord ne devrait pas tenir devant la Cour", lit-on dans sa prise de position. "Les autorités américaines ont en fait besoin de se réveiller et de voir que des changements réels à leurs programmes de surveillance de masse sont requis pour répondre aux inquiétudes des citoyens européens. Nous appelons autant le gouvernement américain que la Commission européenne à reconnaître le sérieux de la situation ou alors nous nous trouverons dans la même situation que deux ans plus tôt. "

Claude Moraes, président de la commission LIBE, rappelle que les eurodéputés ont tenu de nombreuses audiences afin de mettre en lumière les failles de l’accord. (…) Nous sommes profondément préoccupés que le nouveau dispositif ne corrige pas ces failles. A moins que l’on voie un mouvement significatif côté américain, cet accord suivra la même voie que Safe Harbour", prophétise-t-il.

Dans un communiqué, le porte-parole du PPE, Axel Voss, a parlé d’un accord d’une "importance capitale pour notre économie numérique". Il donne selon lui un cadre légal clair et raisonnable pour le transfert transatlantique de données. "D’une part, il semble que les USA ont pris des engagements dans le cadre de leur sécurité nationale de limiter l’accès des autorités publiques aux données à ce qui est nécessaire et proportionné, et de l’autre, la Commission européenne a obtenu des engagements des USA qu’y aura plus de contrôle et de recours individuels", constate l’eurodéputé, qui se réjouit également de la présence nouvelle d’un médiateur qui a "une réelle capacité à agir". "Les annonces de la Commission vont dans le bon sens et renforceront les droits des citoyens européens", conclut-il.

Ce n’est pas l’avis de sa colistière, l’eurodéputé luxembourgeoise PPE et ancienne commissaire européenne à la Justice, Viviane Reding, qui a fait savoir dans un communiqué de presse séparé qu’elle jugeait l’accord "nécessaire mais insuffisant". Le communiqué rappelle qu’elle avait introduit la réforme de la décision appliquant Safe Harbour, à la suite des révélations du lanceur d’alertes américain, Edward Snowden. Viviane Reding voit certes des progrès, notamment la collaboration renforcée entre les autorités européennes de protection des données, le département américain du commerce et la Commission fédérale du Commerce, ou encore l’évaluation annuelle de la décision de la Commission européenne. Elle voit également dans la création d’un poste de médiateur, "une innovation institutionnelle intéressante, même si ses compétences réelles ne sont pas claires".

Toutefois, elle n’est pas certaine que cela suffise pour répondre aux objectifs fixés. Elle est déçue du contenu de l’accord concernant la forme de l’engagement américain à ne pas procéder à une surveillance de masse généralisée. Elle émet de "sérieux doutes" sur la capacité de ces engagements uniquement pris sous la forme d’une lettre des autorités américaines, à résister à un passage devant la Cour de justice. Et conclut : "Nous avons de besoins d’engagements juridiquement contraignants. Safe Harbour ne deviendra pas plus safe, par la seule attribution d’un nouveau nom", conclut l’ancienne commissaire européenne.