Deux mois après son entrée en vigueur, l’accord sur le bouclier de protection de la vie privée (Privacy Shield) conclu entre l’Union européenne et les Etats-Unis a fait l’objet d’une plainte déposée devant un tribunal irlandais le 26 octobre 2016.
Cette plainte entend remettre en question une décision importante s’il en est, puisqu’elle autorise à certaines conditions le transfert de données personnelles depuis l’UE vers les serveurs situés sur le territoire américain.
En réalité, il ne s’agit là que d’un des nombreux épisodes d’un dossier pour le moins épineux.
En effet, le Privacy Shield a été adopté en réponse à l'invalidation le 6 octobre 2015 d’un premier accord UE-USA appelé sphère de sécurité (Safe Harbor). Ce faisant, la Cour de Justice de l'Union Européenne a donné suite à la plainte déposée contre Facebook Ireland par un jeune étudiant autrichien jusqu'ici inconnu, Maximilian Schrems. Ce dernier estimait que la multinationale américaine, en transférant ses données aux Etats-Unis, ne respectait pas son droit fondamental à la protection de ses données personnelles.
Sur le fond, la Cour pose le critère suivant : les Etats-Unis doivent assurer effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union ». A cet égard, la haute juridiction relève que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données transférées, sans assurer de protection juridique efficace aux personnes concernées. En effet, les entreprises américaines doivent se soumettre aux législations américaines d’ordre public ; elles sont donc tenues d’écarter « sans limitation » l’application des clauses du Safe harbor qui leur seraient contraires.
En pointant ici le caractère disproportionné d’une collecte massive et indifférenciée, l’arrêt de la CJUE marque un tournant historique dans le traitement et l’échange des données personnelles dans notre monde désormais numérique et globalisé. En effet, le critère posé, celui de la « protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union», s’applique à toute exportation de données vers des pays tiers à l’Union. Tel un château de cartes, ce sont donc d’autres décisions, celles de la Commission européenne ou des autorités de protection des données personnelles, qui sont susceptibles d’être invalidées, notamment les décisions concernant les accords contraignants d’entreprises (Binding Corporate Rules) et les clauses contractuelles.
Nonobstant, le transfert de données personnelles en dehors de l’EU n'en demeure pas moins une pratique quotidienne constituante de l’économie numérique. Il importait donc de trouver rapidement un successeur au Safe Harbor afin d’apporter une certaine sécurité juridique aux citoyens comme aux entreprises.
Négociant avec les Etats-Unis à partir de 2015, la Commission européenne a porté à la connaissance du public le 12 juillet 2016 les termes du nouvel accord baptisé Privacy Shield. De façon inédite, celui-ci prévoit la création d'un médiateur (« Ombudsperson ») auprès duquel sont déposées les plaintes provenant des citoyens européens. D’autres possibilités de recours sont également prévues : les citoyens peuvent s'adresser soit directement à l'entreprise concernée, soit à l'autorité nationale de protection des données de leur Etat (en France la Cnil) qui collaborera avec la Commission fédérale du commerce des États-Unis (Federal Trade Commission – FTC). Lorsqu’un litige n’est pas réglé par l'un de ces moyens, un mécanisme d’arbitrage est disponible, en dernier ressort.
Pour autant, le Privacy Shield n’a pas fait consensus auprès des États membres, l'Autriche, la Croatie, la Slovénie et la Bulgarie ayant préféré s’abstenir.
Finalement entré en vigueur le 1er août 2016, le Privacy Shield tout comme le Safe Harbor s'applique uniquement aux entreprises américaines qui y adhèrent : au 5 décembre 2016, 1160 d’entre elles s’étaient auto-certifiées. Il est en outre prévu une procédure d’évaluation annuelle conjointe.
Nul doute qu'après les révélations d'Edward Snowden, l'action de Maximilian Schrems, la médiatisation de l'exploitation des données personnelles, la décision de la Cour de Justice de l’UE et plus récemment la mise en lumière des activités de la NSA par le célèbre réalisateur Américain Oliver Stone dans son film intitulé « Snowden », ce sont bien des attentions toutes particulières qui se porteront sur l'examen scrupuleux de cette évaluation. D'autant que le Privacy Shield, à peine adopté, suscite déjà une variété large de considérations allant au mieux du doute poli de certaines personnalités, en passant par « d’importantes préoccupations » pour les Cnils européennes, au pire à la polémique quant à sa réelle cohérence et son efficacité.
Les enjeux sont réels, les conséquences tangibles et l'économie numérique, à l'échelle planétaire, bien dépendante des questions liées aux données personnelles. Et ce ne sont certes pas les GAFA qui viendraient contredire l'importance collective et sociétale accordée au cœur de leur principal modèle économique.
Alors qu'en est-il vraiment, en pratique, pour les citoyens comme pour les entreprises et les institutions concernées ?
Quelles garanties et quelles obligations avons-nous désormais ? De quel équilibre précis cet accord est-il la traduction ?
Dans un monde de plus en plus dépendant du numérique, tâtonnant à trouver ses modalités de fonctionnement, le Privacy Shield ne pose-t-il pas certaines des bonnes questions qui serviront à la structuration des modèles futurs de notre mise en société ?
Il ne s'agit donc pas que de technicité juridique, indubitablement primordiale, mais bel et bien d'une mise en perspective du spectre des enjeux traités, au-delà du « simple » prisme de la relation Europe – États-Unis, qui somme toute, servent de prétexte nécessaire (et incontournable) à la résolution de problèmes numériques de société et de problèmes de société numérique.
Les chercheurs et chercheuses de la Chaire Valeurs et Politiques des Informations Personnelles, constituée dans cet esprit même de mise en perspective collective et pluridisciplinaire, vous invitent ce 6 janvier 2017 à participer à la prochaine conférence qu'ils organisent sur le thème des données personnelles dans les traités et accords internationaux. Un focus tout particulier sera bien entendu fait sur le Privacy Shield par nos prestigieux invités, particulièrement actants dans ce domaine :
- Mme Isabelle Falque-Pierrotin, Présidente du G29 et Présidente de la CNIL,
- M. Claude Moraes, Député européen et Président de la Commission LIBE (Libertés civiles, justice et affaires intérieures) au Parlement Européen et
- M. Bruno Gencarelli, Chef de l'Unité de protection des Données au sein de la Commission européenne (DG Justice et Consommateurs).
Programme et inscription à la 13e Rencontre
Claire Levallois-Barth, Coordinatrice de la Chaire, Maître de conférences en droit à Télécom ParisTech
Ivan Meseguer, Cofondateur de la Chaire, Affaires Européennes, Institut Mines-Télécom
Références