FAIRE CONNAISSANCE

NEWSLETTER

Top

Le Parlement européen demande la renégociation du bouclier de confidentialité avec les États-Unis

privacy shield

Le 26 mai dernier le Parlement européen a voté une résolution afin de demander à la Commission de continuer les négociations avec les États-Unis afin d’améliorer le bouclier de confidentialité ou « Privacy Shield », c’est-à-dire, l’usage qui peut être fait par les entreprises américaines des données que les citoyens déposent sur Internet.

Unsafe Harbor

Revenons un peu en arrière… En 2000, les États-Unis et l’Union européenne ont conclu un accord, appelé Safe Harbor. Cet accord affirme que les données de citoyens européens à titre commercial peuvent être transférées vers les États-Unis car ce pays présente des garanties suffisantes en termes de protection de la vie privée.  Il s’agit d’une sorte de code conduite auquel les entreprises américaines qui le souhaitent peuvent se conformer. Une fois enregistrées auprès de la Commission fédérale du Commerce américaine, la Commission européenne les autorise à recevoir et à traiter des données personnelles. Plus de 4 000 entreprises en ont profité. Concrètement, avec le Safe Harbor, si vous utilisiez Facebook, vos données personnelles sont stockées aux Etats-Unis. Mais cela vaut aussi pour Ebay, Amazon, Microsoft, Yahoo, Apple, Linkedin, Google etc.

C’est donc un sujet qui nous touche tous et de manière conséquente.

En octobre 2015, la Cour de Justice européenne a estimé que ces données n’étaient pas suffisamment protégées.  Cette décision a confirmé la légitimité du combat des eurodéputés socialistes. En juillet 2013, puis en mars 2014, nous avions demandé la suspension immédiate du Safe Harbor. En effet, les pratiques de surveillance américaines se traduisaient par un libre accès des agences de renseignement des États-Unis aux des données des citoyens européens. La Cour a également pointé le manque de recours juridique possible pour ceux-ci.

À l’origine de cette condamnation ? Max Schrems, un étudiant autrichien qui a demandé à Facebook une copie de toutes ses données conservées par le réseau social. Conformément au droit européen, Facebook s’exécute. A la lecture du dossier de 1200 pages, Max Schrems se rend compte que Facebook possède des données qu’il avait pourtant supprimées. Suite aux révélations d’Edward Snowden sur le programme de surveillance PRISM de la NSA, il dépose une plainte en Irlande contre Facebook, Yahoo !, Apple, Skype et Microsoft. C’est cette plainte qui aboutit finalement à la condamnation de la Cour de Justice européenne.

Du refuge au bouclier

Depuis la condamnation par la Cour,  les instances européennes et américaines ont tenté de trouver un nouvel accord. À la fin des négociations en février 2016, le EU-US Privacy Shield (bouclier pour la protection de la vie privée) voit le jour.

La Commission européenne a alors rendu public le contenu de cet accord politique. Le Commissaire chargé du marché unique numérique, Andrus Ansip, le qualifie d’accord «robuste et présentant de nettes améliorations par rapport à l’ancien ». Il s’agit d’une première victoire car les bases d’une meilleure protection sont posées. Les entreprises américaines seront soumises à des obligations renforcées et plus strictes qu’avant.

Si le Groupe de l’Article 29, qui rassemble les autorités de protection des données personnelles des États membres de l’UE, salue la publication de cet accord, sa présidente, Isabelle Falque-Pierrotin, n’a pas caché ses inquiétudes. Sur la forme, le G29 demande des améliorations sur plusieurs points, souligne la complexité du texte et s’inquiète de sa forme juridique. Les annexes, les courriers des parties américaines ou européennes et le document principal se contredisent parfois.

Sur le fond, elle s’inquiète que les principes fondamentaux européens de la protection des données personnelles ne soient pas totalement intégrés au Privacy Shield. Le G29 demande à ce que cet accord prenne en compte la directive sur les données personnelle de 1995, révisée le 14 avril dernier et applicable en 2018. Plus grave encore, la collecte de masse de données et communications des citoyens européens reste encore accessible aux agences américaines dans 6 cas assez larges relatifs à la sécurité américaine. Face à cela, le système de recours qui serait offert aux Européens est bien trop complexe.

La réponse du Parlement européen

Pour notre groupe, comme pour une majorité des parlementaires européens, la maîtrise du traitement des données personnelles et leur protection sont un droit fondamental. Dans le cadre de cet accord, la Commission prend une décision d’adéquation sur le niveau de protection des États-Unis et le Parlement n’est pas appelé à voter. Il peut toutefois donner son avis et les débats au Parlement ont été l’occasion pour les députés de faire part de leurs doutes et de leurs critiques.

C’est pourquoi, aux côtés de la majorité des autres groupes politiques, nous avons inscrit le vote d’une résolution à l’agenda de la dernière session plénière afin de faire entendre la voix du Parlement. La Commission a décidé de retarder la signature de la décision d’adéquation à fin juin. Elle est en train d’étudier les observations du Groupe de l’article 29. C’était donc le bon moment pour le Parlement de réagir d’une voix forte grâce à une résolution commune. Cette résolution sur les flux de données transatlantiques, adoptée à 501 voix, n’est pas contraignante, mais elle accroît la pression sur la Commission et lui donne les orientations souhaitées par le Parlement. Elle demande à la Commission de mettre en œuvre les recommandations du Groupe de l’Article 29.

Elle pointe les avancées du Privacy Shield par rapport au Safe Harbor mais également ses failles. Il s’agit notamment de l’accès des autorités américaines aux données et aux communications des citoyens européens, du statut du Médiateur aux États-Unis, qui n’est pas assez indépendant. Nous alertons aussi la Commission sur le mécanisme de recours : un individu ayant déposé un recours serait simplement informé du respect ou non de la réglementation par les agences de renseignement américaines, sans plus de précision sur la surveillance dont il ferait l’objet, ce qui n’est pas satisfaisant.

Nous insistons sur l’importance de la sécurité juridique du bouclier – élément clé pour le développement du commerce transatlantique et la confiance des consommateurs. Aux USA, de grandes entreprises ont déjà dit qu’elle n’utiliserait pas le Privacy Shield car cet outil n’est pas assez sûr juridiquement. De plus, il risquerait de disparaître en cas de contestation devant la justice ou en cas de changement d’administration aux Etats-Unis. Nous demandons donc à la Commission de clarifier le statut juridique des « garanties écrites » présentées dans les courriers venant des USA.

Enfin, nous appelons la Commission à continuer le dialogue avec le partenaire américain afin d’améliorer le Privacy Shield et à mener régulièrement des évaluations approfondies de la décision d’adéquation, notamment au regard du Règlement sur la Protection des données personnelles. À la Commission maintenant de reprendre son rôle de gardienne des traités et de l’intérêt général de l’Union européenne.

 

Partager sur facebook Twitter Syvie Guillaume