La Commission européenne a annoncé (début février) un nouvel accord transatlantique sur le transfert et le traitement des données personnelles qui pourrait mieux assurer la protection des droits fondamentaux des Européens. Au printemps (2016), les négociations commerciales entre les deux entités en seraient facilitées ; pour l’instant il a surtout animé le débat. Voici les éléments de ce dossier.
—————————————————–
Alors que les négociations pour la signature du partenariat transatlantique de commerce et d’investissement semblent dans l’impasse (au moins jusqu’à la visite d’Obama à Merkel en avril), les autorités américaines et de l’Union européenne se sont entendues sur un nouvel accord-cadre régissant les transferts de données en ligne (approuvé début février 2016 par le Collège de Commissaires). La question de la confidentialité et de la protection des données privées des citoyens européens a toujours été au centre du débat politique en Europe et l’annonce de la Commission a rouvert le débat sur la capacité de l’Union européenne à négocier un cadre qui lui soit favorable.
Le nouvel accord, baptisé « Privacy Shield » (en français, « bouclier de confidentialité UE-USA »), vise à mieux protéger les droits fondamentaux des Européens, en particulier celui du respect de la vie privée, lorsque leurs données à caractère personnel sont transférées aux États-Unis, et fournir une stabilité légale aux entreprises.
Un cadre juridique conçu pour rassurer les citoyens et les entreprises
C’est la première fois que les États-Unis acceptent des engagements contraignants avec l’UE pour que l’accès des autorités américaines à des données personnelles des citoyens européens, pour des raisons de sécurité nationale, soit limité de façon claire et précise. Cet accord obligera les compagnies américaines à se soumettre à des conditions strictes et permettra au Département du Commerce américain et à la Federal Trade Commission de mieux surveiller le respect des règles énoncées. Premièrement, les entreprises américaines qui souhaiteront traiter des données à caractère personnel en provenance de l’Union européenne devront tout d’abord s’engager à de sévères obligations qui seront contraignantes sous le droit américain et surveillées par la Federal Trade Commission. De même, les entreprises devront se conformer aux décisions des autorités européennes chargées de la protection des données.
Il y aura également des obligations de transparence concernant l’accès aux données du Gouvernement américain. En effet, c’est la première fois que les États-Unis ont fourni des engagements par écrit aux autorités européennes pour que l’accès des pouvoirs publics pour des raisons de sécurité nationale soit soumis à des garanties et à des mécanismes de contrôle externe. Les exceptions devront se limiter au strict nécessaire et devront être proportionnées. Ainsi, les États-Unis ont exclu une possible surveillance de masse sur les données européennes.
Finalement, l’accord garantira aussi le droit au recours juridictionnel de tout citoyen en cas de traitement illicite de ses données et à obtenir réparation pour le préjudice subi. Les entreprises auront aussi des délais concrets pour répondre aux plaintes. De la même façon, les autorités européennes chargées de la protection de données pourront renvoyer des plaintes au Département du Commerce et à la Federal Trade Commission. Pour toute plainte contre les autorités d’intelligence américaines, une nouvelle autorité sera créée pour la première fois, celle du médiateur international entre les parties.
Selon le vice-président de la Commission européenne pour le marché unique numérique, Andrus Ansip, cet accord n’est pas seulement un grand pas en avant vers la dynamisation d’un environnement numérique fiable, mais il va aussi stimuler la création du marché unique numérique longtemps attendu et permettra de renforcer le partenariat avec les États-Unis.
Un cadre reflétant les requêtes de la Cour de Justice européenne
L’accord « Privacy Shield » est la réponse de la Commission aux exigences de la Cour de Justice européenne qui, dans son arrêt du 6 octobre 2015, a invalidé l’ancien pacte, connu sous le nom de « Safe Harbour » (en français, « sphère de sécurité »), gouvernant jusqu’alors le transfert de données personnelles des citoyens européens aux États-Unis et qui avait permis à plus de 4000 entreprises de transférer des données de l’UE vers les États-Unis tant qu’elles garantissaient la sûreté de ces données Outre-Atlantique.
L’affaire concernait Maximillian Schrems, un citoyen autrichien utilisateur de Facebook depuis 2008. Ses données avaient été transférées aux serveurs américains de la filiale irlandaise du géant américain. Au vu des révélations faites en 2013 par Edward Snowden sur les activités des services de renseignement des États-Unis, Schrems avait estimé que le droit américain ne pouvait pas offrir une protection suffisante contre la surveillance des pouvoirs publics.
La Cour avait donc examiné l’accord et avait découvert que le pacte était applicable uniquement aux entreprises des États-Unis qui y adhéraient volontairement mais que les autorités publiques n’y étaient pas assujetties. En outre, en cas de conflit entre l’accord et le droit américain, ce dernier, au nom de la sécurité nationale et de l’intérêt public, prévalait sur les engagements signés avec les autorités européennes. Ainsi, les autorités américaines pouvait accéder presque de façon généralisée aux données personnelles européennes et les traiter sans aucun type de contrôle externe. En outre, les personnes concernées n’avaient aucun droit au recours judiciaire ou administratif.
Pour toutes ces raisons, la Cour avait fini par considérer que l’accord « Safe Harbour » compromettaient les droits européens au respect de la vie privée et à une protection judiciaire effective. Cette décision était accompagnée de l’obligation de suspendre le transfert des données personnelles européennes aux États-Unis, car le pays n’était pas en mesure de garantir un niveau adéquat de protection. Mais la mise en œuvre de cette interdiction allait se montrer difficile à concrétiser. Les conditions d’un vide juridique étaient donc réunies. La Commission européenne s’est donc attelée à trouver un nouveau cadre contraignant.
Les sceptiques rouvrent le débat
Le sort du « Privacy Shield » requiert encore l’avis du groupe « de l’article 29 », constitué de toutes les autorités nationales chargées de la protection de données, dont la Commission nationale de l’informatique et des libertés française (CNIL), qui se sont réunies début février pour savoir comment elles gèreront les plaintes et les demandes de transfert de données dans le cadre du nouvel accord. D’autres voix semblent sceptiques, telles que celle de Maximillian Schrems, le citoyen autrichien à l’origine de toute l’affaire, qui considère que le nouvel accord euro-américain reviendra à la Cour européenne de Justice ; ou celle de Jan Philipp Albrecht, député des Verts européens très connu par son engagement dans la protection des données personnelles, qui a déclaré qu’il se passera beaucoup de temps avant que cet accord ne se transforme en déclaration légale écrite.
Pourtant, ce n’est pas la première fois que l’Europe atteint ses objectifs en matière de protection de données à caractère personnel. En 2014, la Cour de Justice de l’Union européenne appliquait à Google (dans l’arrêt Google Spain SL du 13 mai), la directive 95/46/CE relative au traitement des données à caractère personnel, qui obligeait le géant d’internet à supprimer les données de sa liste de résultats de recherche en ligne quand le droit au respect de la vie privée du particulier n’était pas assuré. Ainsi, soumis à la législation européenne, Google a été obligé de mettre en place un formulaire de demande de suppression de contenus qui a reçu, pour l’instant, plus de 335 000 demandes, dont 42% ont été acceptées.
Plus généralement, il reste désormais à déterminer si l’Union européenne saura effectivement mettre en place les mécanismes nécessaires pour garantir la confidentialité des données personnelles des citoyens en territoire européen et américain. Le nouvel accord semble être un pas dans la bonne direction, mais il faudra attendre pour évaluer les éventuelles conséquences légales et pratiques qu’il entraînera. Le débat restera ouvert, surtout dans un contexte où les questions autour de la défense collective et de la protection de liberté individuelle se posent.
Rafael Guillermo LÓPEZ JUÁREZ
(février 2016)
►Les textes juridiques concernés
Pour aller plus loin :
►Communiqué de la Commission sur l’accord « Privacy Shield » (02/02/16)