L’UE et les Etats-Unis sont parvenus à un accord sur un nouveau cadre pour le transfert transatlantique des données personnelles. Ce «bouclier vie privée UE/Etats-Unis» (Privacy Shield) prend la succession du Safe Harbor, qui régissait le transfert de données vers les Etats-Unis, mais avait été invalidé le 6 octobre 2015 par la CJUE.
L’accord Privacy Shield annoncé le 2 février dernier entend donc renforcer la sécurité des données personnelles transférées par les entreprises européennes à leurs maison mère, filiales ou prestataires aux Etats-Unis. Si la plupart des spécialistes saluent les avancées annoncées, ils demeurent sceptiques quant à leur application concrète. En effet, l’annonce ne fait qu’émettre des grands principes, les détails pratiques devant être communiqués dans quelques semaines. «Le résumé publié correspond sur certains aspects aux exigences du groupe de l’article 29 [G29, groupe des CNIL européennes, ndlr]. On ne sait pas pour l’instant ce que l’accord contiendra concrètement, mais il devrait être nécessairement plus protecteur que le Safe Harbor», estime Florence Chafiol, associé d’August & Debouzy.
Des engagements opposables
Les entreprises américaines seront soumises à des «obligations strictes» et à un «contrôle rigoureux». «Désormais, les entreprises américaines qui souhaitent importer des données en provenance de l’UE devront publier leurs engagements de garantir les droits des citoyens européens, ces engagements leur étant opposables, et la FTC pourra les contraindre et les sanctionner. Le Safe Harbor ne prévoyait rien de tel», salue Alexandra Neri, associée de Herbert Smith Freehills.
L’accord prévoit également que l’accès à ces données par les autorités américaines, sujet le plus sensible des discussions, soit étroitement encadré et transparent. Les Etats-Unis ont ainsi garanti par écrit à l’Union européenne que cet accès sera soumis à «une supervision, des limites et des garanties bien définies». Un réexamen en collaboration avec l’UE sera réalisé tous les ans pour s’en assurer.
Enfin, plusieurs voies de recours seront offertes aux citoyens de l’UE. Ils pourront se plaindre auprès des entreprises américaines incriminées, qui devront leur répondre dans un délai déterminé. Ces plaintes pourront également être transmises par les autorités européennes au département américain du commerce et à la FTC. Ce recours au mécanisme de règlement extrajudiciaire des litiges sera gratuit. Pour les plaintes visant un accès abusif aux données par les services de renseignement américain, un nouveau médiateur, ou «ombudsperson», sera institué.
Si l’effet d’annonce est convaincant, de nombreuses critiques ont déjà été formulées au sujet de cet accord, notamment concernant les voies de recours. «Il y a désormais la possibilité de saisir directement les entreprises adhérentes, comme on le fait en Europe, ce qui est une nouveauté appréciable. En revanche, si la réponse n’est pas celle attendue, les voies de recours ne sont pas encore très claires», regrette Rémy Bricard, associé chez Baker & McKenzie.
Pas de sanctions claires
L’absence de sanctions précises est également critiquée. «Le nouveau cadre s’inspire de la philosophie américaine qui privilégie l’autorégulation plutôt que le recours à l’autorité judiciaire, au contrôle de laquelle les Européens sont très attachés ; il est ainsi logique que certains jugent cet accord insuffisant», explique Alexandra Neri. Le texte publié ne détaille pas de quelle manière le Département du Commerce ou la FTC sanctionneront les manquements des entreprises. Les praticiens s’attendent donc à ce que l’accord final clarifie ce point. «Le nouveau Règlement général européen sur la protection des données (GDPR) prévoit une amende allant jusqu’à 4 % du chiffre d’affaires mondial en cas de manquement d’une entreprise. Il me paraît inenvisageable que la Commission européenne valide un accord qui n’inclurait pas également des sanctions des autorités de contrôle américaines en cas de manquement au Privacy Shield», avance Rémy Bricard.
De même, les critiquent se portent sur les garanties apportées par le gouvernement américain sur l’accès des services de renseignement à ces données. «Rien ne permet aujourd’hui de garantir que les autorités américaines ne continueront pas à collecter ces données en vertu du Patriot Act. La Commission prévoit la suspension de l’accord en cas de manquement, mais encore faut-il pouvoir le démontrer !», déplore l’associée d’Herbert Smith Freehills.
En attendant la publication et la validation d’un accord définitif, les entreprises évoluent toujours dans un contexte incertain, ne pouvant encadrer le transfert des données personnelles que via les deux outils que sont les clauses contractuelles types et les Binding Corporate Rules (BCR). «D’une part, rien n’empêche à ce stade les services de renseignement américains d’avoir accès aux données transférées et, d’autre part, ces outils peuvent être invalidés à tout moment si la Commission estime qu’ils n’offrent pas une sécurité suffisante. En conséquence, certaines entreprises n’ont rien fait depuis l’invalidation du Safe Harbor en attendant d’en savoir plus. Elles encourent de ce fait des sanctions», avertit Florence Chafiol. Reste donc à la Commission européenne et au gouvernement américain de finaliser un accord clair et transparent, pour une application prévue, au mieux, d’ici à l’automne.
