Mercredi, les autorités chargées de la protection des données en Europe ont mis en garde les entreprises qui ont besoin de transférer des données personnelles des citoyens de l'Union européenne aux États-Unis. Elles leur conseillent d’attendre au moins la mi-avril avant de s’appuyer sur le Privacy Shield dévoilé mardi pour fournir une protection juridique à ces transferts. Elles ne devraient pas non plus trop compter sur les mécanismes alternatifs pour couvrir légalement ces transferts. Car si les règles d'entreprise contraignantes et les clauses contractuelles types suffisent pour le moment, ce ne sera peut-être plus le cas après cette date.
En effet, selon le chef du Groupe de Travail Article 29, l'organe de l'UE chargé de représenter les autorités nationales de protection des données (DPA), les autorités de protection espèrent qu’au mois d’avril elles auront terminé l’analyse juridique du Privacy Shield qui succède au Safe Harbor. Mais elles ne pourront respecter ce calendrier que si la Commission européenne leur fournit, dans les trois semaines, tous les documents nécessaires, comme elle l’a promis. L’analyse servira également à examiner les mécanismes de transfert alternatifs comme les règles d'entreprise contraignantes et les clauses contractuelles types.
Des points à éclaircir
Le Privacy Shield doit résoudre les problèmes qui avaient amené la Cour de justice de l'Union européenne à invalider le Safe Harbor Act en octobre dernier. Celle-ci estimait que les protections sur la vie privée offertes par l’ancien accord étaient insuffisantes au regard des lois européennes. Comme le Safe Harbor avant lui, le Privacy Shield est censé offrir aux citoyens de l'UE la garantie que leurs données personnelles bénéficieront de la même protection sur le territoire américain que celle en vigueur dans l’espace européen. « Mais beaucoup d’éléments du Privacy Shield demandent à être éclaircis, et peu de documents précisant le cadre du nouvel accord ont été rendus publics, si bien que les autorités de protection des données ne sont pas en mesure de vérifier leur conformité », a déclaré Isabelle Falque-Pierrotin, présidente du groupe de travail Article 29 et présidente de la Commission nationale Informatique et Libertés (CNIL). « Actuellement, nous ne disposons pas des documents nécessaires pour formuler un avis définitif sur le nouvel accord », a-t-elle déclaré lors d'une conférence de presse à Bruxelles, mercredi après-midi. Une chose est claire cependant : « Le Safe Harbor n’est plus valide, et les entreprises qui s’appuient sur l’ancien accord pour couvrir leurs transferts de données transatlantiques sont clairement dans l’illégalité », a-t-elle ajouté.
Alors, que peuvent faire les entreprises en attendant ? En octobre, la Commission européenne avait déclaré que la fin du Safe Harbor Act n’était pas un gros problème, car les entreprises pourraient se contenter d’adopter l'un des mécanismes alternatifs prévus par la directive de 1995 sur la protection des données pour légaliser leurs transferts de données transatlantiques. Cependant, le groupe de travail s’était inquiété que ces mécanismes souffrent des mêmes insuffisances que celles pointées par la Cour de justice dans le Safe Harbor Act. En particulier, le groupe de travail avait mis en cause le manque de protection contre la surveillance de masse réalisée par les services de renseignement, et avait promis d’analyser dans le détail l’impact de l’invalidation de l’accord sur ces solutions alternatives.
Les documents seront-ils rendus publics ?
Les conclusions du groupe de travail étaient prêtes quelques heures avant l'annonce du Privacy Shield par la Commission européenne. Mais, selon Isabelle Falque-Pierrotin, « l'annonce constituait un fait nouveau qui changeait l'analyse ». Ajoutant que « tant que le groupe de travail n’aura pas passé en revue les documents sur lesquels se fonde le Privacy Shield, les autorités de protection des données accorderont le bénéfice du doute aux entreprises qui s’appuient sur les mécanismes de transfert de données alternatifs comme les règles d'entreprise contraignantes et les clauses contractuelles types ». Cependant, brandir le Safe Harbor seul n’est pas une bonne idée : Johannes Caspar, le commissaire de Hambourg pour la protection des données et la liberté de l'information, également présent lors de la conférence de presse, a déclaré que son bureau avait demandé à une quarantaine d’entreprises des informations sur leurs transferts de données aux États-Unis pour s’assurer qu’elles respectaient bien la décision prise en octobre par la Cour de justice européenne.
John Higgins, directeur général du groupe de pression Digital Europe, a pour sa part salué la décision autorisant l’usage des règles d'entreprise contraignantes. « Elle a permis de rassurer les entreprises opérant dans tous les secteurs de l'économie et leur a fourni la sécurité juridique dont elles ont besoin ». Mais, à certains égards, ces dispositions ne font que prolonger l'incertitude, puisque les entreprises se demandent si ces mécanismes seront valides au-delà de trois mois, dans la mesure où l’avis initial des autorités de protections n'était pas très favorable. « La question du champ d'application de la surveillance et des mesures correctives nous préoccupe », a déclaré Isabelle Falque-Pierrotin. Cette réserve laisse penser qu’avant l'annonce du nouvel accord Privacy Shield par la Commission, les autorités de protection auraient sans doute demandé que les entreprises ne soient pas autorisées à transférer des données en invoquant les règles d'entreprise contraignantes ou les clauses contractuelles types. « Tant que nous n’avons pas achevé d’analyser l’impact possible des nouvelles dispositions sur la légalité des autres outils de transfert, nous considérons qu'il est toujours possible d'utiliser les mécanismes de transfert existants », a-t-elle encore déclaré. « Les autorités de protection attendent que la Commission européenne leur fournisse les documents sur lesquels se base le Privacy Shield », a-t-elle ajouté, mais « pas trop longtemps ». À la question de savoir si les documents devaient être rendus publics, Isabelle Falque-Pierrotin a répondu : « C’est à la Commission de décider, mais pour des raisons de transparence, il est important que ces engagements soient aussi publics que possible ».