Entré en vigueur le 1er août 2016, le Privacy Shield est un outil de protection des données personnelles que transmettent des entreprises et des particuliers européens à des sociétés américaines. A sa création, il fut unanimement considérée comme la « moins pire » des solutions, mais à l’heure de son premier audit annuel, de nombreuses questions restent en suspens. Et si la Maison Blanche (logiquement) et la Commission Européenne (de façon plus surprenante) se félicitent de son efficacité, des voix s’élèvent pour réclamer son renforcement, voire sa renégociation.
Pour l’Union Européenne, le transfert de données personnelles hors d’Europe – et tout particulièrement aux Etats-Unis – pose un problème légal depuis des années. De nombreux Européens, particuliers ou entreprises, utilisent les services de multinationales américaines, notamment via Internet : dès lors, comment garantir la protection de ces données envoyées dans un autre pays, où leurs utilisation, pour monétisation ou opérations de renseignement, est une pratique courante et moins encadrée qu’en Union Européenne ?
Le Privacy Shield est-il réellement efficace ?
En vigueur pendant des années, l’accord Safe Harbor avait fait preuve éclatante de son inefficacité, notamment face à l’exploitation de ces données personnelles par les agences de renseignements américaines. Il avait été en conséquence invalidé par la Commission Européenne et remplacé, dans la précipitation, par le Privacy Shield (ou « Bouclier de Protection des Données » en français). Entré en vigueur le 1er août 2016, il a essuyé des critiques dès ce jour.
Mais cet accord présente l’avantage d’une clause de révision annuelle. Un audit est en cours entre les autorités américaines et européenne, dont le résultat sera publié en octobre. Des amendements auront lieu, mais vont-ils renforcer ou affaiblir l’accord ?
Maison Blanche et Commission Européenne affichent leur optimisme
Certes, la Maison Blanche a publié un communiqué rassurant : « Nous croyons fermement que l’examen à venir démontrera la force de la promesse américaine de protéger les données personnelles des citoyens des deux côtés de l’Atlantique […] L’engagement des États-Unis envers le Privacy Shield ne peut être plus fort »
Mais le principe America First de l’administration Trump, tout comme le renforcement du Privacy Act, peut faire craindre le pire. Věra Jourová, commissaire européenne chargée du dossier, a certes affirmé que des garanties avaient été fournies par les Etats-Unis : « Je suis heureuse d’être rassurée qu’America First ne signifie pas l’Amérique uniquement » a-t-elle notamment déclaré.
Des « zones d’ombre » à réviser dans le Privacy Shield
Ces discours sont loin de faire l’unanimité : en France, le Conseil National du Numérique a publié un communiqué de presse cinglant sur le sujet. Il reprend des inquiétudes déjà exprimé par de nombreuses associations de défense des droits, ainsi que par le G29 et la délégation de la commission des libertés civiles (LIBE) du Parlement européen.
« Le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens. » affirme avec force le communiqué. En cause notamment : un cadre juridique pas assez contraignant, qui rend l’accord déséquilibré et laisse de nombreuses failles par lesquels des données peuvent être récupérées par des sociétés ou autorités américaines qui ne sont pas autorisé à y avoir accès.
Collecte massive par les services secrets et déséquilibre dans le traitement des données
La question de la collecte des données à des fins de renseignement est également problématique : certes l’administration américaine a promis de se contenter de collecte de données ciblée (visant clairement un individu, groupe d’individu ou société estimés dangereuses par les services secrets), et non des collectes de masse comme effectuées par le passé. Mais cette promesse peut être amendée à tout moment à des fins de « sécurité nationale », « un motif comprenant des objectifs aussi larges que non-définis » souligne le rapport.
Plus globalement, le texte pointe avec justesse le déséquilibre existant entre Europe et Etats-Unis sur la collecte des données, la sécurité de ces données et les principes de certification : un cadre plus lâche donne un avantage concurrentiel aux entreprises américaines, qu’un accord comme le Privacy Shield devrait réduire.
La nécessité d’un « accord plus robuste juridiquement »
Le Conseil National du Numérique réclame donc un nouveau dispositif : « Il est nécessaire de s’atteler à la négociation d’un accord plus robuste juridiquement, pour garantir la protection des données personnelles de tous les Européens, dans un cadre suffisamment stable pour nos entreprises. Il s’agit également de prendre la pleine conscience de l’asymétrie existante en matière de flux de données entre les États-Unis et l’Union européenne. L’entrée en vigueur, l’an prochain, du Règlement général sur la protection des données (RGPD) et l’harmonisation des législations nationales, doit permettre cette négociation sur des bases plus solides. »
Même s’il est hautement improbable que l’administration Trump soit sur cette longueur d’onde, ces recommandations sont à la fois précieuses et justes. Il reste à espérer que ces exigences trouveront leur place à la table des négociations – et, pourquoi pas, dans les amendements futurs du texte.