Principaux portails publics  |     | 

Droits fondamentaux, lutte contre la discrimination - Justice, liberté, sécurité et immigration
Privacy Shield – Les autorités européennes de protection des données personnelles réunies dans le groupe Article 29 sont préoccupées par le successeur de Safe Harbour
13-04-2016


Le nouvel accord entre UE et Etats-Unis sur le transfert de données financières dans le cadre du programme américain de lutte contre le terrorisme et son financement a reçu l'approbation du Parlement européen le 8 juillet 2010 © CommonsLe 13 avril 2016, les autorités européennes de protection des données personnelles, réunies au sein du groupe Article 29, ont exprimé leurs inquiétudes face au nouveau cadre juridique négocié avec les Etats-Unis pour les transferts transatlantiques de données, baptisé Privacy Shield ("Bouclier de confidentialité", en français).

La Commission européenne avait conclu cet accord avec les USA le 2 février 2016, afin qu'il succède à l'accord Safe Harbour, qui encadrait ces transferts "commerciaux" de données jusqu'à son invalidation par l'arrêt Schrems du 6 octobre 2015 de la Cour de justice de l'UE. Cet arrêt, survenu durant la présidence luxembourgeoise du Conseil de l'UE, avait conduit le ministre luxembourgeois Nicolas Schmit, les 14 et 28 octobre 2015, à évoquer au Parlement européen les leçons à en tirer concernant la surveillance électronique de masse des citoyens de l'UE.

Dans une communication sur les moyens de restaurer la confiance dans le transfert des données entre l'UE et l'USA, datée du 29 février 2016, la Commission européenne soulignait que l'accord Privacy Shield constituait une amélioration par rapport au Safe Harbour dans quatre domaines : des obligations rigides pour les entreprises et une stricte application ; des limites claires et des garde-fous dans l'accès du gouvernement américain aux données, une protection efficace de la vie privée des citoyens européens avec plusieurs possibilités de recours et un mécanisme de révision annuel.

"Une surveillance massive et indiscriminée ne peut jamais être considérée comme proportionnée et strictement nécessaire dans une société démocratique"

Dans son avis de 58 pages, le groupe Article 29 (G29) souligne certes que de nombreuses recommandations faites dans sa lettre du 10 avril 2014 à la Commission européenne en réponse à sa stratégie présentée en novembre 2013, ont été prises en compte. Ainsi, le groupe Article 29 note qu' "un grand pas en avant fait par la décision Safe Harbour, est que la proposition de décision d'adéquation aborde désormais amplement l'accès potentiel aux données traitées dans le cadre du Privacy Shield pour des raisons de sécurité nationale et d'application de la loi". De même, il constate que l'administration américaine garantit désormais davantage de transparence. "Notre première réaction a été positive. Le Privacy Shield répond à la majorité de nos demandes. Nous pensons qu'il y a eu des améliorations dans la définition des droits et la reconnaissance des enjeux de la surveillance", a ainsi déclaré Isabelle Falque-Pierrotin, à la tête du G29.

Néanmoins, le G29 signale un "besoin urgent de clarifications" sur des points clés du Privacy Shield, dont il déplore la complexité. Pour les autorités nationales de protection des données, le nouvel accord n'encadre pas suffisamment la collecte généralisée de données. "Nous reconnaissons l'importance de la collecte de données dans le cadre de la lutte contre le terrorisme", a précisé Isabelle Falque-Pierrotin, en regrettant toutefois que la possibilité soit laissée dans le nouvel accord à ce que les données personnelles transférées fassent l'objet "d'une surveillance de masse, massive et indiscriminée". Les six cas permettant une collecte "en vrac" par les autorités américaines ne permettent pas de garantir le respect des principes de nécessité et de proportionnalité de la collecte des données.

La question de la collecte en vrac de données avait été l'une des questions critiques centrales soulevées par la CJUE dans l'arrêt Schrems selon lequel le dispositif Safe Harbour n'apportait pas suffisamment de garanties aux Européens. "Le G29 rappelle sa position de longue date selon laquelle une surveillance massive et indiscriminée ne peut jamais être considérée comme proportionnée et strictement nécessaire dans une société démocratique", dit-il dans son avis.

Le G 29 est aussi préoccupé par les garanties insuffisantes sur les pouvoirs, l'efficacité et l'indépendance du médiateur américain chargé de recueillir les plaintes des citoyens européens, censé être indépendant tout en étant à l'intérieur du département d'Etat américain. En outre, les recours dont pourraient se servir les Européens sur le sol américain sont jugés compliqués à mettre en œuvre. Ainsi, le G29 suggère-t-il que les régulateurs nationaux restent les points centraux de contact pour les citoyens.

Sur la partie strictement commerciale de l'analyse, le G 29 estime que le Privacy Shield devrait apporter un niveau semblable de protection au cadre européen, sans devoir pour autant en être obligatoirement une copie. Or, même en dépit d'améliorations, il manque des définitions claires. Il n'est pas certain non plus que la protection des données pour les Etats ne soit garantie à un même niveau quand elles sont transférées d'une partie prenante du Privacy Shield vers un pays tiers. Ces transferts sont insuffisamment encadrés, en termes de limitations et de garanties.

La liste des exceptions dans lesquelles l'accès du citoyen à ses données n'est pas garanti, "a tendance à faire pencher la balance dans le sens des intérêts des entreprises", note encore le G29 qui rappelle que l'article 8 de la Charte des droits fondamentaux de l'Union européenne qui garantit le droit des citoyens à leurs données.

Alors que l'accord Schrems avait plongé dans l'insécurité juridique les milliers d'entreprises transférant les données personnelles de leurs clients en Europe pour les traiter sur le sol américain, le G29 souligne que les entreprises peuvent continuer à utiliser certains outils juridiques alternatifs aux dispositions du Safe Harbour pour transférer des données vers les Etats-Unis.

Enfin, le Privacy Shield étant basé sur les normes de l'actuelle directive de 1995 sur la protection des données, les régulateurs européens demandent qu'une révision de l'accord Privacy Shield intervienne peu de temps après l'entrée en vigueur du nouveau paquet européen sur la réforme des règles de protection des données.

Les réactions

La commissaire européenne chargée du dossier, Vera Jourova, a indiqué que la Commission tiendrait compte de ces remarques et les intégrerait rapidement à l'accord. Elle entend obtenir l'aval des ministres européens en mai 2016 afin que la nouvelle décision d'adéquation de mise en œuvre de l'accord présentée par la Commission puisse s'appliquer dès le mois de juin suivant.

En réaction à l'avis du G 29, le Bureau européen des consommateurs (BEUC) a rappelé  ses critiques envers l'accord projeté qui ne garantirait pas une protection efficace des données des citoyens européens. Dans un communiqué, il déplore un système opaque pour les citoyens européens qui veulent faire un recours, le manque d'indépendance de l'autorité américaine de protection des données, l'affaiblissement des principes de protection des données tels que des limites à la finalité de la collecte et au nombre de données qui peuvent être collectées, la restriction des droits tels que le droit d'information sur les données recueillies ou encore l'absence de limitation de temps pour la conservation des données par les entreprises.

"Le Privacy Shield a autant de trous qu'un fromage suisse. Les droits des consommateurs européens à la protection de la vie privée ne devraient pas expirer quand leurs données personnelles sortent de l'UE mais cet accord ne fait rien pour l'en empêcher", a déclaré le directrice générale du BEUC, Monique Goyens. "L'UE serait bien conseillée de défendre ses standards avec plus de vigueur. L'attitude permissive envoie un signal inquiétant sur le sérieux porté à nos valeurs et nos lois.”

DIGITALEUROPE, qui représente des entreprises européennes de l'économie numérique, retient le fait que le G 29 a reconnu des améliorations dans le cadre légal pour le transfert des données. “Nous espérons que les changements exigés pourront être apportées rapidement sans retarder la mise en œuvre de cet outil légal plus que nécessaire.” “Nous croyons que le niveau de protection des données pourvu par le Privacy Shield ne peut être vraiment démontré qu'une fois mis sur pied et mis en œuvre", dit l'organisation dans un communiqué.