Depuis le 6 octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) avait invalidé l’accord Safe Harbor, la Commission Européenne et les États-Unis sont entrés dans une phase de négociations en vue de définir un nouvel accord, le Pirivacy Shield.

Le 2 février dernier un nouveau texte est proposé : il est baptisé « Privacy Shield », ou bouclier pour la protection de la vie privée.

En jeu, le maintien de la possibilité pour les entreprises américaines de gérer et d’exploiter les données personnelles des citoyens de l’UE.

Que représente ce nouveau texte ? Quels en sont ses enjeux et ses limites ? Qu’en est-il pour les sociétés responsables des données ?

Dans un climat de défiance de plus en plus accru concernant la protection des données personnelles, il devient primordial d’être attentif aux garanties offertes en matière de confidentialité lorsque l’on confie des données à un tiers, même dans un cadre professionnel.

Du Safe Harbor au « Privacy Shield », de réels progrès ? – Explications sur un nouvel accord déjà sujet à polémiques …

Pourquoi ce nouvel accord ?

Jusqu’à présent, le Safe Harbor autorisait les transferts de données personnelles des citoyens européens vers les Etats-Unis, même si la législation européenne l’interdit, en contrepartie d’un « niveau de protection adéquat ». Cet accord bénéficiait, par exemple, à plusieurs milliers d’entreprises, dont Google, Apple, Amazon, etc.

Conscient de la vulnérabilité de la protection des données via cet accord, la CJUE souhaite mettre fin au flou juridique sur la question du transfert des données personnelles vers les Etats-Unis.

La consigne est donnée : le nouvel accord euro-américain doit être plus protecteur des droits des Européens que ne l’était Safe Harbor et imposer des limites « claires » et « transparentes » concernant le droit de surveillance des données aux Etats-Unis.

Que propose le Privacy Shield ?

En pratique, si un citoyen européen veut protester contre un abus dans l’utilisation de ses données aux Etats-Unis, il pourra s’adresser à l’agence de protection des données de son pays, qui transmettra sa plainte au département du commerce, à Washington.

Sur le fond, le Privacy Shield repose donc sur le même raisonnement juridique que l’ancien Safe Harbor : seules les sociétés privées s’engagent individuellement à fournir une protection « adéquate » aux données européennes.

Ce que rajoute le nouvel accord est la création de plusieurs voies de recours pour les citoyens européens tant en Europe qu’aux Etats-Unis avec notamment une voie d’arbitrage possible en dernier recours : un médiateur pourra être en charge de traiter les dossiers sensibles liés aux accès abusifs aux données d’un citoyen européen par un service américain. En d’autres termes et pour être clair : les citoyens européens pourront désormais faire valoir leurs droits en portant plainte soit auprès des entreprises elles-mêmes, soit auprès des organismes nationaux responsables (type CNIL).

Quelles conséquences pratiques pour les entreprises qui stockent actuellement leurs données aux États-Unis ?

Le Privacy Shield engage les entreprises américaines importatrices des données à respecter des obligations rigoureuses sur le traitement des données et le respect des droits des personnes concernées, sous la surveillance du « Department of Commerce ». Des sanctions, voire l’exclusion du nouveau dispositif, pourraient être appliquées à l’encontre des entreprises se trouvant en violation de leurs obligations.

Ce que cela implique pour les Entreprises :

  1. Toutes les entreprises sont concernées. Fichier client, informations stockées dans un CRM, logs de connexion… ces données sont considérés comme personnelles et leur collecte engage la responsabilité de l’entreprise.
  2. Celui qui collecte les données personnelles en est le responsable légal. Si une Entreprise confie ses données ou celles de ses clients à un tiers situé aux Etats-Unis (ou ayant son siège sur le sol Américain) et qu’il y a une fuite, ce sera à l’Entreprise (et non au tiers) d’en répondre devant la justice.
  3. Privacy Shield ne permet pas de garantir ce qu’il advient aux données confiées à des entreprises américaines. Le recours à la justice américaine via un médiateur envisage clairement la possibilité de violation de la confidentialité. Il proscrit « la surveillance de masse » des données mais prévoit la possibilité d’un accès ciblé par les organismes gouvernementaux.

Quand cet accord sera-t-il effectif ?

L’affaire n’est pas encore bouclée, loin de là. Le 2 février était une date symbolique, les sociétés ayant eu jusqu’au 1er février pour se mettre en conformité avec la nouvelle situation juridique imposée par la CJUE.

En effet, reste à savoir quelle sera la position du G29, équivalent des CNIL des pays européens, qui avait imposé aux autorités de trouver un accord à la fin de janvier 2016.  La question est de déterminer si ce nouvel accord met en place des garanties suffisantes pour que les entreprises concernées soient considérées par les autorités européennes de protection comme offrant un niveau de protection adéquat.

Le Privacy Shield n’est donc pas ratifié puisque l’accord doit être examiné par le groupe. Il pourra au mieux être ratifié en avril.

Privacy Shield : un sujet déjà polémique

Il reste à ce jour, encore beaucoup de zones d’ombres notamment concernant l’éventuelle remise en cause par certaines autorités européennes des clauses contractuelles pour le transfert de données vers les Etats-Unis. Les réels pouvoirs du médiateur sont eux aussi sujet à débat.

Des députés européens s’expriment également et font remarquer que « les Etats-Unis n’ont pas pris d’engagements juridiquement contraignants » et que, si adopté, cet accord « serait lui aussi remis en cause devant la Cour de justice de l’Union européenne », comme Safe Harbor.

Reste donc au « Privacy Shield » de se démarquer de son prédécesseur en proposant des solutions réellement exploitables et voir si ces distinctions seront suffisantes pour convaincre la cour de justice de l’Union européenne.

Frédéric Fouyet

Frédéric Fouyet
Directeur de l’innovation et des produits

Oodrive, le partenaire de confiance pour la gestion de vos données sensibles.

En savoir plus Nous contacter