Le Safe Harbor est mort, vive le Privacy Shield. Véritable remise à plat des conditions de transfert des données personnelles de citoyens européens vers les Etats-Unis pour les uns ou simple toilettage du précédent accord Safe Harbor, le Privacy Shield - ou bouclier de protection des données - ne laisse personne indifférent. Surout pas la Commission européenne qui a adopté ce 12 juillet le nouveau cadre qui « protège les droits fondamentaux de tout citoyen de l'UE dont les données à caractère personnel sont transférées vers les Etats-Unis tout en apportant de la clarté juridique aux entreprises qui ont recours à des transferts de données transatlantiques. »
Après avoir examiné et apporté leurs commentaires depuis février dernier au projet de texte sur lequel le Privacy Shield repose, les Etats membres de l'Union européenne l'ont finalement adopté. Une adoption qui a ravi Andrus Ansip, vice-président de la Commission européenne chargé du marché unique numérique : « Nous avons travaillé d'arrache-pied avec l'ensemble de nos partenaires européens et américains afin de parvenir à un accord adéquat dans les plus brefs délais [...] Nous disposons à présent d'un cadre solide garantissant que ces transferts se dérouleront dans des conditions optimales, y compris sur le plan de la sécurité. » Et Vera Jourova, commissaire européenne à la Justice et aux consommateurs d'avoir précisé de son côté : « Ce bouclier prévoit des normes renforcées en matière de protection des données assorties de contrôle plus rigoureux visant à en assurer le respect ainsi que des garanties en ce qui concerne l'accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte. »
Un mauvais accord pour les utilisateurs et les entreprises selon Max Schrems
Le Privacy Shield repose sur plusieurs principes fondateurs. Au premier rang desquelles des obligations strictes pour les entreprises qui traitent des données : « dans le cadre du nouveau dispositif, le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes afin de veiller à ce qu'elles observent les règles auxquelles elles ont souscrit », peut-on lire dans un communiqué faisant suite à l'adoption du texte. En cas de non conformité, des sanctions sont prévues, sans que l'on sache cependant de quelle nature. Le Privacy Shield repose par ailleurs sur un autre principe, celui d'une (trop?) grande confiance accordée au pays de l'Oncle Sam : « Les Etats-Unis ont donné à l'Union européenne l'assurance que l'accès aux pouvoirs publics aux données à des fins d'ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. »
De même, la Commission met en avant que, dans le cadre du bouclier de la protection des données, les Etats-Unis s'engagent à exclure toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire. Une disposition que n'a pas manqué de critiquer Max Schrems, l'internaute autrichien dont l'action auprès du Commissaire irlandais chargé de la protection des données avait conduit à la fin du Safe Harbor. « Cet accord est mauvais pour les utilisateurs qui ne bénéficieront pas de protections adéquates en matière de vie privée et pour les entreprises qui devront composer avec une solution juridique instable », a expliqué Max Schrems.
Afin de circonscrire les abus concernant l'utilisation des données personnelles des citoyens européens, la Commission a mis en place des garde-fous : « Tout citoyen estimant que les données le concernant ont fait l'objet d'une utilisation abusive dans le cadre du bouclier de protection des données bénéficiera de plusieurs mécanismes accessibles et abordables de règlement des litiges [...] Lorsqu'un litige n'aura pas été réglé par l'un de ces moyens un mécanisme d'arbitrage sera disponible en dernier ressort. » Cela suffira-t-il à rassurer les utilisateurs européens dont les données personnelles sont transférées aux Etats-Unis ? Rien n'est moins sûr. Sans doute est-ce pour cette raison que certains fournisseurs cloud n'ont pas attendu la mise en place de nouvelles réglementations en matière de transfert de données personnelles pour établir des centres de données locaux afin de rassurer leurs clients, à l'image dernièrement de Salesforce.
Commentaire