Le Privacy Shield en sursis ?

(par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)

Les 18 et 19 octobre prochains, aura lieu la deuxième évaluation annuelle du Privacy Shield. Les discussions vont s’engager dans un contexte nettement moins favorable que celui qui a présidé son élaboration. En témoigne la résolution du Parlement européen en date du 5 juillet 2018,demandant à la Commission de suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord.

Rappelons que le Privacy Shield est né de l’annulation par la Cour de justice de l’Union européenne[1]de la décision n°2000/520CE du 26 juillet 2000 de la Commission, constatant que les États-Unis respectent la « Sphère de sécurité », le Safe Harbor. Les juges européens ont estimé que les conditions requises pour garantir un niveau de protection adéquat des données transférées outre-Atlantique n’étaient pas respectées. Après négociations, la décision d’exécution (UE) 2016/1250 est adoptée par le Conseil, le 12 juillet 2016, après approbation du Parlement européen. Elle constate le niveau adéquat de protection des données à caractère personnel transférées de l’Union européenne à des organisations aux États-Unis au titre du « bouclier de protection des données » UE-États-Unis. Le Privacy Shield remplace alors le Safe Harbor.

La première révision du Privacy Shield s’engage en septembre 2017. En s’appuyant sur un rapport, la Commission considère, le 18 octobre, que « les autorités américaines ont mis en place les structures et procédures nécessaires pour garantir le bon fonctionnement du « bouclier de protection des données » ». Ce satisfecit repose notamment sur l’accès aux nouvelles possibilités de recours. Cet optimisme n’est pas partagé par les autorités européennes de protection des données à caractère personnel et par les organismes indépendants comme le CNNum.

La deuxième révision qui va prochainement débuter sera sans doute marquée par des échanges plus tendus, compte tenu de la position du Parlement européen. Pour considérer dans sa résolution que le bouclier de protection des données n’offre pas le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et par la charte des droits fondamentaux de l’Union européenne, telle qu’interprétée par la Cour de justice de l’Union européenne, le Parlement européen fait plusieurs observations, parmi elles :

• Le bouclier de protection des données UE-États-Unis est assorti de plusieurs engagements et assurances unilatéraux de la part de l’administration américaine, explicitant, entre autres, les principes de la protection des données, le fonctionnement de la surveillance, de la mise en application de la loi et des voies de recours, et les protections et garanties en vertu desquelles les agences de sécurité peuvent avoir accès aux données à caractère personnel et traiter ces dernières. Ces engagements ne sont pas tenus ;
• Si l’avis du groupe de travail «article 29» du 28 novembre 2017 intitulé «EU-US Privacy Shield – First Annual Joint Review», prend acte des progrès du bouclier de protection des données par rapport à la décision, invalidée, relative à la sphère de sécurité, « un certain nombre de questions restent en suspens, importantes et très préoccupantes, concernant à la fois le commerce et l’accès des autorités publiques américaines aux données transférées aux États-Unis au titre du bouclier de protection des données (que ce soit à des fins de répression ou de sécurité nationale)» ;
• Le mécanisme du médiateur mis en place par le Département d’État américain n’est pas suffisamment indépendant et n’est pas doté de pouvoirs effectifs suffisants pour mener à bien ses missions et offrir aux ressortissants de l’Union des voies de recours efficaces ;
• Les différentes procédures de recours offertes aux citoyens de l’Union européenne peuvent s’avérer trop complexes, difficiles à utiliser et moins efficaces ;
• L’absence de règles et de garanties spécifiques, dans le bouclier de protection des données, concernant les décisions fondées sur le traitement automatisé ou le profilage, qui produisent des effets juridiques ou affectent de manière significative l’individu ;
• Le Congrès américain a modifié et réautorisé, le 11 janvier 2018, pour six ans, la section 702 du FISA sans répondre aux préoccupations que la Commission exprime dans son rapport d’examen conjoint et de l’avis du groupe de travail « article 29 ».
• Facebook Inc., Cambridge Analytica and SCL Elections Ltd sont des entreprises certifiées dans le cadre du bouclier de protection des données et en tant que telles, elles ont bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l’Union européenne vers les États-Unis. Or Facebook a confirmé que les données de 2,7 millions de citoyens de l’UE figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica.

Pour toutes ces raisons, le Parlement s’inquiète du risque croissant que la Cour de justice de l’Union européenne puisse invalider la décision d’exécution (UE) 2016/1250 de la Commission sur le bouclier de protection des données. C’est dans ce contexte que s’engage le second examen du Privacy Shied, les 18 et 19 octobre 2018. Le 26 juillet, Věra Jourová, commissaire en charge de la justice, a écrit à Wilbur Ross, secrétaire américain au commerce, pour se plaindre de la lenteur de l’administration américaine dans la mise en œuvre des mesures liées au Privacy Shield. La prise en compte des dispositions du RGPD sera aussi sujet à débat avec la partie américaine.

[1] CJUE, C-362/14 Maximillian Schrems/ Data Protection Commissionner du 6 octobre 2015.