Tout a commencé en 2001, bien avant la mise en place du Privacy Shield, avec un ensemble de principes de protection des données personnelles négocié entre les autorités américaines et la Commission européenne. Le Safe Harbor devait permettre d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union Européenne vers des entreprises établies aux États-Unis. Cet accord a finalement été invalidé par décision de la Cour de Justice de l’UE en octobre 2015. Le motif ? L’accord ne garantissait pas une protection « essentiellement équivalente » à celle des textes européens.
Le 12 juillet 2016, la Commission européenne a adopté la décision d’adéquation du « Privacy Shield EU-US », qui remplace le Safe Harbor. Plus de 4000 entreprises s’appuyaient sur ce texte pour transférer des données personnelles depuis l’Europe vers les États-Unis. D’après ce nouvel accord, la collecte de données devra correspondre aux besoins précis des entreprises. Les Européens ont désormais la possibilité de bloquer l’utilisation de leurs données pour des usages non prévus au départ. Pour les données sensibles (santé par exemple) un consentement préalable sera exigé.
Les autorités de protection de la vie privée veillent
L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales, le G29. Les missions de cette organisation : contribuer à l’élaboration des normes européennes en adoptant des recommandations, rendre des avis sur le niveau de protection dans les pays hors UE et conseiller la Commission européenne sur tout projet ayant une incidence sur la protection des données et des libertés des personnes.
Depuis le départ, le Privacy Shield fait face à de nombreuses critiques, notamment de la part du G29. Dans un communiqué daté d’avril 2016, le groupe de travail pointait du doigt des garanties insuffisantes concernant l’accès des autorités publiques américaines aux données transférées. Il épinglait alors « un manque général de clarté » ainsi que l’absence d’un principe précis de durée de conservation des données. « D’importantes préoccupations demeurent concernant le volet commercial du Privacy Shield et l’accès par les autorités publiques aux données transférées dans le cadre de l’accord », indiquait alors le G29 dans un communiqué.
Le 25 juillet dernier, le G29 a rendu son verdict quant au nouveau texte adopté, et il se montre assez critique. Se félicitant d’un certain nombre d’avancées, il juge encore que certaines dispositions ne sont pas suffisantes vis-à-vis des exigences européennes.
Privacy Shield : encore des réserves de la part du G29
Le G29 a émis des réserves sur différents points du Privacy Shield. Notamment en ce qui concerne le manque de garanties et de voies de recours proposées par le texte. « Concernant le volet commercial, le G29 regrette par exemple le manque de règles spécifiques pour les décisions automatisées ainsi que l’absence de droit général permettant un recours », précise le communiqué de l’organisation.
Le G29 s’est également exprimé sur le risque de surveillance de masse par le gouvernement américain. Les États-Unis se sont engagés à ne pas pratiquer de surveillance excessive contre des citoyens européens, mais « sans fournir suffisamment de détails sur la manière dont ils comptent éviter de le faire », estime le groupe de travail. Le statut et l’indépendance du médiateur (Ombudsman) chargé de traiter les plaintes des citoyens européens préoccupent aussi le G29.
Une révision annuelle du Privacy Shield est programmée pour juillet 2017. Le G29 compte sur ce rendez-vous pour « évaluer si les questions en suspens ont été résolues, mais aussi si les garanties prévues par le Privacy Shield entre les États-Unis et l’UE sont réalisées et efficaces ». L’examen annuel sera l’occasion de juger de la solidité et de l’efficacité du mécanisme.
Protection des données : un défi permanent pour les entreprises
La protection des données personnelles est prise très au sérieux par l’Union Européenne. Une fois sorties de sa juridiction, il est difficile de contrôler ce qu’elles deviennent. Un problème récurrent notamment avec les géants du web américains entre autres. Pour beaucoup d’entreprises, assurer la confidentialité et la sécurité des données de leurs clients est devenue une priorité et une nécessité. Elles doivent faire particulièrement attention dans le choix des outils auxquels elles auront recours. Pour les prestataires de solutions Cloud par exemple, elles pourront s’appuyer sur un certain nombre de certifications (Cloud Confidence, ISO27001 :2013…), sur leur expérience ainsi que sur leur capacité à répondre aux besoins spécifiques d’un marché.
