Données personnelles : l'accord entre l'Europe et les Etats-Unis sur le point d'être adopté
Les Etats membres de l'UE ont donné leur feu vert au «Privacy Shield», qui vient remplacer l'accord «Safe Harbor» invalidé en octobre par la justice européenne.
Le «Privacy Shield» est sur la rampe de lancement. La Commission européenne l’a annoncé ce vendredi matin : le nouvel accord-cadre sur les transferts de données personnelles depuis le Vieux Continent vers les Etats-Unis a reçu le feu vert des Etats membres de l’Union, moins quatre abstentions (l’Autriche, la Slovénie, la Bulgarie et la Croatie, selon l’agence Reuters). Il devrait être adopté formellement par la Commission mardi prochain. Ce «bouclier de confidentialité» vient ainsi succéder à l’accord dit «Safe Harbor» (ou «sphère de sécurité»), invalidé il y a neuf mois par la justice européenne.
Deux ans de négociation
Mis en place en 2000, le Safe Harbor était censé garantir aux citoyens européens un niveau de protection suffisant de leurs données personnelles transférées sur le sol américain : les entreprises qui y adhéraient s’engageaient à respecter les normes de l’UE en la matière… via une certification annuelle qu’elles pouvaient s’autodécerner. Une «garantie» minimale qui a volé en éclats en 2013 avec les révélations d’Edward Snowden sur les pratiques de surveillance massive de la NSA, et notamment le programme Prism, qui permet à l’agence américaine d’accéder aux données stockées par les géants du Net.
A lire aussi Safe Harbor, quand la justice européenne tente de protéger nos données des grandes oreilles américaines
En mars 2014, le Parlement européen avait demandé la suspension du Safe Harbor. La Commission européenne et le département américain du Commerce s’étaient alors engagés dans une renégociation. Or un an et demi plus tard, alors que ces discussions transatlantiques n’avaient pas encore abouti, le combat du juriste et militant autrichien de la vie privée Max Schrems contre les pratiques de Facebook a eu raison de l’accord. Saisie de l’affaire, la Cour de justice de l’Union européenne (CJUE) a en effet, le 6 octobre dernier, jugé «invalide» la décision de la Commission reconnaissant le Safe Harbor.
Dénoncé comme insuffisant
Depuis, les flux transatlantiques de données ne se sont pas pour autant taris : les entreprises américaines peuvent en effet s’appuyer sur des clauses contractuelles ou des «binding corporate rules», des règles de «bonne conduite» internes aux entreprises. Elles n’en dénonçaient pas moins une situation d’insécurité juridique, à laquelle l’adoption du Privacy Shield devrait mettre un terme… du moins pour un temps. Car d’ores et déjà, plusieurs opposants au Safe Harbor, comme Schrems ou l’eurodéputé vert allemand Jan Philipp Albrecht, jugent que son remplaçant est loin d’apporter les garanties de protection suffisantes.
A lire aussi Données personnelles : l’accord UE-USA critiqué
Côté Commission, on assure que le Privacy Shield, «fondamentalement différent» du Safe Harbor, impose des «obligations claires et fortes» aux entreprises. Et on se félicite que les Etats-Unis aient donné «l’assurance écrite» que l’accès des autorités aux données ferait «l’objet de limitations claires, de garanties et de mécanismes de contrôle», et qu’ils aient «exclu la surveillance de masse indiscriminée des données des citoyens européens».
Voire. Comme l’expliquait récemment Le Monde, les Etats-Unis s’engagent effectivement à surveiller, et si besoin sanctionner, les pratiques des entreprises qui adhéreront au Privacy Shield. Est également prévue la nomination d’un médiateur chargé de traiter les plaintes éventuelles. Reste que la collecte «en vrac» de données («bulk collection») est autorisée «dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable»… Si, pour Bruxelles, la directive Obama de 2014 et le USA Freedom Act de 2015 sont censés apporter des garde-fous, les autorités européennes de protection des données personnelles – dont la Commission nationale de l’informatique et des libertés (Cnil) en France – n’en estimaient pas moins, en avril dernier, que les autorités américaines n’avaient pas «apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens». Elles jugeaient également trop complexes les procédures de recours.
LIBERATION.FR
