La Commission européenne et les Etats-Unis sont parvenus à un accord pour donner un cadre au transfert des données personnelles entre l'Europe et les Etats-Unis. Sous le nom de EU-US Privacy Shield, cet accord doit venir remplacer le Safe Harbor qui avait été invalidé début octobre 2015 par la Cour de Justice de l’Union européenne (CJUE). La CJUE avait estimé que ce régime ne protégeait pas suffisamment les données personnelles des citoyens européens. Fin octobre 2015, le G29, organe consultatif européen indépendant sur la protection des données, avait posé un ultimatum pour qu'une solution soit trouvée avant fin janvier 2016.
Quelques jours après cet ultimatum, la Commission européenne a annoncé être parvenue à un accord avec les Etats-Unis, qui «protège les droits fondamentaux des européens lorsque leurs données sont transférées vers les Etats-Unis et garantit la sécurité juridique des entreprises». «Les compagnies américaines qui souhaitent importer des données à caractère personnel en provenance d'Europe devront respecter de solides obligations sur la façon dont les données personnelles seront traitées et les droits individuels garantis», précise le communiqué. Elles devront publier leurs engagements en la matière de sorte que le droit américain sera applicable. Les entreprises traitant des données RH devront, de plus, se plier aux autorités de protection des données des pays concernés.
Un médiateur américain pour traiter les plaintes européennes
En outre, les «Etats-Unis ont exclu la surveillance de masse sans discernement sur les données personnelles transférées aux États-Unis dans le cadre du nouvel accord». Andrus Ansip, le commissaire européen en charge du numérique, et la commissaire à la Justice, Věra Jourová, disent avoir obtenu un engagement écrit des Etats-Unis sur ce point. Un réexamen annuel de l'accord sera mis en place. Enfin, un «ombudsman» (médiateur) sera mis en place au sein du Département d'Etat américain, afin de traiter les plaintes des citoyens européens. Ces derniers auront plusieurs voies de recours s'ils estiment que leurs données ont été mal utilisées.
Réactions méfiantes
Cette annonce a suscité de nombreuses réactions. L'ancienne Vice-Présidente de la Commission Viviane Reding a estimé que cet accord était nécessaire mais insuffisant: « Des progrès ont été faits de l'autre côté de l'Atlantique. La nomination d'un Ombudsman est une nouveauté institutionnelle intéressante, mais ses véritables pouvoirs restent vagues. Une question subsiste: est-ce que ce sera suffisant pour protéger les données personnelles et assurer la sécurité juridique ? » Et de conclure: «Nous avons besoin d'obligations légalement contraignantes et sans conditions. Safe Harbour ne sera pas 'Safe' si on change seulement son nom.»
Des transferts de données toujours illégales
Contacté par notre rédaction, Sylvain Métille, avocat spécialiste de la protection des données au sein de l'étude HDC, espère que ce nouvel accord répondra aux lacunes ayant poussé la CJUE à dénoncer le régime du Safe Harbor, mais il n'en est pas certain: «Ce qui posait le plus problème était l'accès non discriminé aux données. Aujourd'hui j'ai de la peine à imaginer qu'une modification aussi rapide puisse être appliquée sans modification du droit américain.» Mais l'avocat lausannois se montre optimiste et salue la prise de conscience autour de la question de la protection des données.
En attendant que cet accord entre effectivement en vigueur, Sylvain Métille conseille aux entreprises qui exportent des données de signer des contrats avec des clauses contractuelles types. Cela vaut-il la peine de signer ces contrats pour une si courte durée? «Oui. Aujourd'hui le transfert de données est illégal. Ces contrats permettent de mettre l'entreprise à l'abri pendant les six mois avant la mise en place effective de l'accord.»