L’affaire Snowden révélant une collecte massive des données par la NSA avait balayé sur son passage le Safe Harbor qui encadrait les transferts transatlantiques de données. Le bouclier « EU-US Privacy Shield (ou « bouclier de l’Union européenne et des Etats-Unis pour la protection de la vie privée ») conclu le 2 février dernier permettra-t-il de sécuriser suffisamment le transfert des données des citoyens européens vers les Etats-Unis ?
La nécessité de pallier l’annulation du Safe Harbor
La Cour de justice de l’Union européenne avait en effet considéré que ce dernier ne garantissait pas aux citoyens européens un niveau suffisant de sécurité (CJUE, 6 octobre 2015).
Depuis lors, tout transfert transatlantique de données était interdit sauf dans le cadre des clauses contractuelles types ou des Binding Corporate Rules (BCR). A défaut, toute personne réalisant un tel transfert s’exposait en principe à une peine d’amende de 300 000 euros et 5 ans d’emprisonnement (articles 226-16, 226-16 A et 226-22-1 du Code pénal). Le G29 réunissant les CNIL européennes a néanmoins récemment précisé que dans l’attente de l’entrée en vigueur de l’« EU-US Privacy Shield », les entreprises pourraient continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées.
Le bouclier « EU-US Privacy Shield », un palliatif suffisant ?
Lundi dernier, la Commission européenne a présenté les documents juridiques qui formeront le bouclier « EU-US Privacy Shield » visant à pallier l’annulation du Safe Harbor ainsi qu’une communication résumant les actions qui seront menées. Elle fait ainsi état des courriers du gouvernement américain énumérant les garanties apportées aux données transférées vers les Etats-Unis, ainsi que des principes que devront respecter les entreprises.
Ce texte prévoit également la mise en place d’un médiateur (dit « ombudsman ») au sein du Département d’Etat américain ayant un rôle de référent à l’égard des éventuelles plaintes des citoyens européens concernant l’accès à leurs données. Les citoyens s’estimant lésés pourront avoir recours à un mécanisme d’arbitrage.
Max Schrems ayant formé le recours devant la CJUE à l’encontre du Safe Harbor prévoit dès à présent d’attaquer ce nouvel accord considérant qu’il présente des garanties insuffisantes. C’est également le point de vue de Jan Philipp Albrecht, député Vert, qui a déploré le manque de modifications significatives vis-à-vis du Safe Harbor.
La commissaire européenne chargée de la justice, Vera Jourova, estime au contraire que le nouveau cadre juridique est « solide » relevant que « pour la première fois » les américains ont apportés des garanties écrites sur les limites de l’accès aux données pour des raisons liées à la sécurité nationale.
Les CNIL européennes ont également salué ce nouvel accord, mais rendront leur avis définitif fin mars. Il appartiendra ensuite à la Commission européenne dans le cadre d’une « décision d’adéquation » de déclarer si les engagements américains présentent ou non un niveau adéquat de protection aux citoyens européens, après qu’un comité composé de représentants des Etats membres ait été consulté.