L’EU-US Privacy Shield. Autre chose qu’un joli logo?

Tout semble indiquer que la Commission européenne est fermement décidée à faire un succès médiatique du nouveau EU-US Privacy Shield. Le mois dernier déjà, elle le faisait savoir sur base d’une bande-annonce dans laquelle elle présentait un logo branché au public et ce, sans quasiment aucun commentaire juridique.

Le 29 février, la Commission publia enfin le cadre juridique tant attendu. Ce cadre comprend une énumération des principes du Privacy Shield, une explication écrite des instances américaines, la manière dont ces principes doivent être imposés, ainsi que quelques garanties importantes pour l’exécution de l’accord.

Qu’y a-t-il de changé?

Ce qui a probablement de plus important à noter, c’est qu’en vertu du nouveau Privacy Shield, l’échange des données entre l’Union européenne et les Etats-Unis devra être traité sous les mêmes garanties (strictes) que le trafic des données interne à l’UE. C’était là aussi une exigence figurant dans la sentence rendue par la Cour européenne de Justice. Les autorités américaines ont promis d’assurer le respect strict du Privacy Shield, avec la garantie importante que les services de sécurité nationaux s’abstiendront de tout contrôle aléatoire ou massif (en d’autres mots: le contrôle individuel des données du citoyen européen par un service de sécurité américain sera encore et toujours possible, à condition d’être motivé et suffisamment étayé).

Dans ce but, le ministre américain des Affaires étrangères John Kerry a assuré à l’UE que les citoyens européens pourront introduire des plaintes au niveau de la sécurité nationale auprès d’un ombudsman en matière de confidentialité, mais appartenant à ce même ministère des Affaires étrangères. L’on peut ici déjà se poser des questions quant au degré d’indépendance et d’efficience de ce genre de conciliateur interne. Il aurait été préférable de prévoir un conciliateur externe européen. La faim d’informations des services de sécurité américains aura dû assurément peser dans la balance.

Nouvel organisme pour les plaintes

Il nous faut cependant faire remarquer qu’il y a des garanties allant au-delà des seuls services de sécurité américains. C’est ainsi que les citoyens pourront aussi directement s’adresser à l’entreprise enfreignant les règles, laquelle devra réagir à leurs plaintes dans les 45 jours. Si tel n’est pas le cas, le citoyen de l’UE pourra faire appel a son ‘autorité nationale de protection des données’ (à savoir la Commission vie privée locale), pour résoudre le problème. Si tout cela n’apporte aucune solution, un mécanisme d’arbitrage encore à créer sera chargé de prendre une décision finale et exécutoire.

Pour ne pas rester scotché à un texte correct, mais inerte, la Commission a prévu un système d’évaluation annuel qui examinera à la loupe le fonctionnement, le contrôle et les engagements mutuels. Un ‘privacytop’ annuel, organisé par la Commission et ouvert aux ‘ONG et autres parties intéressées’ est aussi planifié. L’on ne sait cependant absolument pas dans quelle mesure les garanties nécessaires et les mécanismes de sanction seront disponibles.

Tout bien considéré, il s’agit là d’une belle impulsion en vue de mieux sécuriser le respect de la vie privée des citoyens européens, même si l’on regrettera qu’il ait fallu attendre un jugement de la part de la Cour européenne. Cette impulsion doit cependant encore être soumise à une série de comités consultatifs, ce qui donnera aux Etats-Unis le temps de mettre en place les préliminaires nécessaires. Le côté législatif de l’affaire est déjà quasiment terminé aux Etats-Unis, de sorte qu’il faudra surtout attendre l’accord-cadre et l’adhésion du Parlement européen. L’espoir fait vivre, comme on dit!

Conclusion

La Commission européenne n’a pas la vie facile pour le moment. D’une part, elle doit répondre au groupe toujours plus imposant des activistes en matière de respect de la vie privée, qui préfèrent toujours étaler leurs critiques dans les médias traditionnels. Il ne sert non plus à rien que la Cour européenne adopte une position plus ferme dans le domaine de la protection des données personnelles. D’autre part, les grandes organisations financières et économiques et leur lobby sont en train de ruer dans les brancards. Plus il y aura de promesses en matière de confidentialité, plus il y aura de tracasseries et plus les relations commerciales se compliqueront. Tout cela aura incontestablement un effet sur l’économie mondiale, étant donné que les Etats-Unis et l’UE entretiennent plus que des relations commerciales profitables. Les Facebook & Google de ce monde peuvent clamer haut et fort qu’elles accordent de l’importance au respect de votre vie privée, elles jugent quand même leurs rentrées publicitaires encore un peu plus importantes.

Pour terminer, voici une citation du vice-président Ansip: “Now we start turning the EU-U.S. Privacy Shield into reality. Both sides of the Atlantic work to ensure that the personal data of citizens will be fully protected and that we are fit for the opportunities of the digital age. (…) We will continue our efforts, within the EU and on the global stage, to strengthen confidence in the online world. Trust is a must, it is what will drive our digital future.”

L’aspect médiatique est en tout cas déjà parfaitement engagé à la Commission. Attendons la suite…