Shay Danon
‘EU-US Privacy Shield’: ce sont les détails qui pourraient poser problème
L’on a eu droit à une grande nouvelle mardi dernier – du moins dans le domaine du respect de la vie privée -, à savoir l’annonce de l’accord conclu entre la Commission européenne et les Etats-Unis en remplacement du règlement Safe Harbor. Même si la date-butoir initiale n’a pas été respectée, le vice-président Ansip et la commissaire Jourová semblaient se réjouir du fait qu’on avait quand même réussi à conclure un accord. Et ils buvaient carrément du petit lait en présentant le logo qui venait d’être conçu.
Petit rappel: en octobre dernier, la Cour européenne de Justice décidait que le règlement Safe Harbor entre l’UE et les Etats-Unis n’était plus valable, parce qu’il ne garantissait plus suffisamment le respect de la vie privée des citoyens européens. Nous l’avions déjà abordé dans un précédent blog. Le règlement Safe Harbor permettait que des données personnelles puissent être transférées à des entreprises et organisations aux Etats-Unis, à condition que celles-ci adhèrent au règlement en question. Sur base de la directive européenne, les données personnelles ne peuvent en effet être transférées que dans des pays qui les protègent correctement et conformément aux critères européens. Or les Etats-Unis n’offrent pas ce niveau de protection adéquat. Pour permettre néanmoins l’échange (aisé) de données avec les Etats-Unis, l’on a donc élaboré le règlement Safe Harbor.
Le règlement a été des années durant une épine dans le pied des défenseurs du respect de la vie privée.
Le règlement a été des années durant une épine dans le pied des défenseurs du respect de la vie privée. Non seulement l’on trouvait en effet sur la liste Safe Harbor des entreprises qui ne s’occupaient pas suffisamment bien des données personnelles, mais il était aussi stipulé dans le règlement que le droit américain primait.
Le jugement rendu par la Cour européenne provoqua donc pas mal d’enthousiasme chez les adeptes (européens) du respect de la vie privée, mais aussi un peu de panique chez les nombreuses entreprises qui échangeaient des données personnelles avec les Etats-Unis sur base de Safe Harbor.
La question est de savoir dans quelle mesure le lobby a influencé les détails de l’accord.
Et la Commission européenne a donc dû intervenir. Une solution urgente s’avérait en effet nécessaire car d’importants intérêts économiques étaient en jeu. Suite à la décision de la Cour européenne, les parties ont dû se mettre autour de la table de négociations. L’on peut estimer que ces négociations ont été âpres, mais le travail de lobbying a dû l’être tout autant. Et plus spécialement de la part du lobby américain regroupant les autorités, les entreprises et les services de renseignements. La question est de savoir dans quelle mesure ce lobby a influencé les détails de l’accord que l’UE et les Etats-Unis viennent de conclure. Car comme toujours, ce sont les détails qui pourraient poser problème.
La Commission a présenté hier les grandes lignes de l’accord, que voici:
§ Des obligations plus strictes s’appliqueront aux entreprises américaines qui traitent les données des citoyens européens. L’US Federal Trade Commission contrôlera le respect de ces obligations. En outre, les entreprises seront tenues de satisfaire aux décisions prises par les contrôleurs européens du respect de la vie privée.
§ Il y aura des garanties et des obligations plus transparentes, au cas où des autorités américaines auraient accès aux données personnelles de citoyens européens.
§ Les citoyens européens pourront compter sur une protection effective. Ils bénéficieront aussi de diverses possibilités d’appel. C’est ainsi que les entreprises se verront imposer des dates-butoirs pour réagir à des plaintes, alors que ces dernières pourront être transmises à l’US Federal Trade Commission. Il y aura également des possibilités alternatives d’accommodement de litiges sans frais. Pour les plaintes portant sur l’accès possible des autorités américaines, un médiateur sera désigné.
Dans quelle mesure les autorités américaines brideront-elles leur surveillance massive en vue de satisfaire aux normes européennes?
De belles paroles, mais qui s’apparentent déjà pour d’aucuns à un ‘os à ronger’. Sans avoir encore vu l’impact de l’accord, je trouve cela un peu trop pessimiste. Mais je ne peux nier que l’impact sera crucial pour la valeur intrinsèque de l’accord. Comment l’US Federal Trade Commission va-t-elle contrôler les entreprises, quelles seront les conséquences pour les entreprises qui ne s’en tiendront pas aux nouvelles règles et dans quelle mesure le gouvernement américain bridera sa surveillance massive pour satisfaire aux normes européennes? Ce ne sont là que quelques questions qui surgissent. Même si je suis moi aussi sceptique, je distingue quand même une lueur. Nous avons réussi à amener les Etats-Unis à la table de négociations. Je suis donc confiant qu’ils y reviennnent, si l’impact du Privacy Shield ne devrait pas répondre à nos normes européennes en matière de respect de la vie privée et de protection des données personnelles.
Il faudra attendre encore un peu pour savoir ce que l’EU-US Privacy Shield va représenter pour notre vie privée et le traitement de nos données personnelles. En attendant, nous devrons nous satisfaire du très beau logo.
Découvrez ici le communiqué de presse officiel de la Commission européenne et ici la réaction provisoire du groupe de travail Artikel 29, l’organe de conseils et de concertations indépendant des contrôleurs européens du respect de la vie privée.
Affaire à suivre…
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici