Adieu Safe Harbor, place au Privacy Shield ! Au terme de trois mois d'intenses négociations "jour et nuit", la Commission européenne et les autorités américaines ont présenté, mardi 2 février au soir, les grands principes du futur Privacy Shield. Ce "bouclier de la vie privée" devra fournir un nouveau cadre légal pour les transferts de données de l'Europe vers les Etats-Unis. Des transferts indispensables au bon fonctionnement de 4.500 entreprises américaines implantées sur le Vieux Continent, qu'il s'agisse de géants de l'Internet (Google, Apple, Facebook, Amazon, Airbnb...) ou d'entreprises de taille plus modeste.
Lorsqu'il sera en vigueur, le Privacy Shield mettra fin à une période d'instabilité juridique gênante pour les entreprises, qui court depuis le 6 octobre dernier. Ce jour-là, la Cour de justice européenne (CUEJ) a annulé le précédent mécanisme, le Safe Harbor, en vigueur depuis quinze ans, au motif qu'il protégeait insuffisamment la vie privée des citoyens européens.
Et pour cause : il suffisait aux entreprises américaines de certifier elles-mêmes leur conformité avec les normes européennes de protection des données. Une garantie très minimale... dont les limites sont apparues au grand jour lorsqu'Edward Snowden a révélé l'étendue de la surveillance de masse pratiquée par la NSA, via notamment la récupération des données moissonnées par les entreprises américaines.
La décision de la CUEJ, historique, a rendu le Safe Harbor illégal. Immédiatement, les Cnil européennes ont donné trois mois à la Commission européenne et aux autorités américaines pour accoucher d'un nouveau cadre réglementaire. Avec un objectif ambitieux : que la nouvelle norme assure à la fois le bon déroulement du business ET une protection satisfaisante des données des citoyens européens. Pas une mince affaire...
Ont-ils réussi ?
Sur le plan comptable, non. Trois mois plus tard, il n'y a toujours pas de nouveau cadre immédiatement applicable, comme le voulait le Groupe de l'article 29 (ou G29, qui réunit les Cnil européennes). Il faut dire que le délai était particulièrement court... surtout lorsqu'on connaît la lourdeur de l'administration et les enjeux, à la fois pour les Européens et les Américains.
En revanche, l'accord politique qui a été dévoilé pose les grands principes, acceptés par les deux parties, du futur Privacy Shield. A ce titre, il représente une avancée significative. Même s'il faudra attendre jusqu'à fin février pour découvrir le contenu précis du Privacy Shield.
Que contient l'accord ?
Il ne manque pas d'ambition, du moins dans les mots. Conformément au souhait du G29, les entreprises qui transfèrent des données de citoyens européens aux Etats-Unis devront se soumettre à de "fortes obligations" en matière de respect de la vie privée, à savoir respecter la contraignante législation européenne. Ces engagements seront contrôlés par le Département américain du commerce, en lien avec la Federal Trade Commission (FTC). La célèbre agence, dont le rôle est d'appliquer le droit de la consommation et de contrôler les pratiques commerciales des entreprises, prendra du galon pour devenir une sorte de "super Cnil" américaine.
De leur côté, les citoyens européens pourront bénéficier de plusieurs recours en cas d'utilisation abusive de leurs données personnelles par les entreprises américaines. Ils pourront demander aux autorités européennes de protection des données de servir d'intermédiaire auprès du département américain du Commerce. Et en cas d'abus, ils pourront recourir à un "Ombudsperson", un juge de paix indépendant que l'on retrouve dans la culture juridique des pays nordiques. Celui-ci pourra instruire ces demandes et prendre une décision d'indemnisation.
De plus, contrairement au Safe Harbor, le Privacy Shield sera soumis à une "révision conjointe", tous les ans. Des représentants du G29 y seront associés.
Enfin, l'accord vise à obtenir des Etats-Unis la fin de leur surveillance de masse, qui avait motivé l'arrêt du Safe Harbor. Le gouvernement ne pourra accéder aux données des citoyens européens que de manière "exceptionnelle", et dans des conditions précises... qui restent à délimiter.
Qu'en pensent les Européens, les Cnil et les experts ?
Du côté de la Commission européenne, le satisfecit est de mise. "Les Européens peuvent être sûrs que leurs données personnelles seront pleinement protégées", s'est réjoui Andrus Ansip. Věra Jourová, la commissaire européenne à la justice, en première ligne dans les négociations, s'est aussi félicitée que "pour la première fois, les Etats-Unis ont donné l'assurance que l'accès des autorités aux données sera clairement délimité, avec des mécanismes de recours et de contrôle". Pour elle, le Privacy Shield va acter "la fin de la surveillance de masse" des Etats-Unis.
La réalité est plus nuancée. Car pour l'heure, et c'est tout le problème, cet accord ne présente rien de concret, seulement des lettres d'intentions, certes ambitieuses mais sans aucune valeur juridique. D'où une certaine prudence du côté des Cnil européennes. Isabelle Falque-Pierrotin, la présidente de la Cnil française et du G29, souligne que l'accord est un "très bon signe", mais elle préfère attendre de "recevoir le document" pour se prononcer. Selon la Commission européenne, il devrait être prêt pour la fin février.
Les défenseurs de la vie privée, eux, sont carrément déçus. "Je n'ai jamais vu un accord si universellement décrié", s'est moqué Edward Snowden sur Twitter, en référence aux nombreuses critiques émanant même de députés européens, à l'image de l'écologiste allemand Jan Philipp Albrecht, qui fustige un "affront" à la Cour de justice européenne. "Une poignée de lettres de l'administration Obama sortante n'est en aucun cas une base légale pour garantir les droits fondamentaux de 500 millions de citoyens européens", a réagi Max Schrems, le jeune avocat autrichien dont la plainte contre Facebook a précipité la chute du Safe Harbor.
Enfin, de nombreux experts qui travaillent avec les entreprises sur leurs transferts de données, préfèrent voir le verre à moitié plein. A l'image de Daniel Kadar, avocat associé au cabinet Reed Smith:
"Le fait qu'on discute de ces sujets alors qu'il ne se passait rien depuis deux ans, et qu'on aboutisse à des déclarations si fortes représente une avancée considérable. Si ces engagements se retrouvent dans le texte final, il ne sera plus possible pour les entreprises de contourner la législation européenne sur la protection des données."
Que va-t-il se passer pour les entreprises ?
Une réunion extraordinaire du G29 est prévue fin mars pour analyser le contenu précis du Privacy Shield, qui doit être révélé fin février. Les Cnil européennes émettront ensuite un avis, qui sera rendu public au mois d'avril.
En attendant leur décision, les entreprises qui utilisaient le Safe Harbor doivent recourir aux autres mécanismes de transfert des données, qui sont les clauses contractuelles types (CCT) et les "binding corporate rules" (BTC), des règles internes d'entreprises. Mais sans avoir l'assurance que ceux-ci seront toujours autorisés après le mois d'avril, car le G29 doit aussi se prononcer sur leur légalité concernant les transferts de données vers les Etats-Unis.
Quoi qu'il en soit, le Safe Harbor est bel et bien illégal. Chaque Cnil nationale peut désormais décider d'engager des poursuites contre les entreprises qui n'ont pas basculé vers les autres mécanismes existants. Mais, selon plusieurs cabinets d'avocats interrogés par La Tribune, la plupart ont pris les devants depuis le 6 octobre.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !