Privacy Shield : un bouclier à peine brandi, déjà ébréché ? - CGE

Privacy Shield : un bouclier à peine brandi, déjà ébréché ?

Le 12 juillet 2016, l’Union européenne et les États-Unis concluaient l’accord sur le bouclier de protection de la vie privée (Privacy Shield). Le Privacy Shield faisait ainsi suite à l’invalidation le 6 octobre 2015 d’un premier accord UE-USA appelé sphère de sécurité (Safe Harbor) par la Cour de Justice de l’Union Européenne. Ce faisant, la Cour a donné suite à la plainte déposée contre Facebook Ireland par un jeune étudiant autrichien, Maximilian Schrems, qui estimait que la multinationale américaine, en transférant ses données aux Etats-Unis, ne respectait pas son droit fondamental à la protection de ses données personnelles.
Sur le fond, la Cour pose le critère suivant : les États-Unis doivent assurer effectivement, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union ». A cet égard, la haute juridiction relève que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données transférées, sans assurer de protection juridique efficace aux personnes concernées. En effet, les entreprises américaines doivent se soumettre aux législations américaines d’ordre public ; elles sont donc tenues d’écarter « sans limitation » l’application des clauses du Safe harbor qui leur seraient contraires.

En pointant ici le caractère disproportionné d’une collecte massive et indifférenciée, l’arrêt de la CJUE marque un tournant historique dans l’échange des données personnelles dans notre monde numérique et globalisé. En effet, le critère posé, celui de la « protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union», s’applique à toute exportation de données vers des pays tiers à l’Union. Tel un château de cartes, ce sont donc d’autres décisions, celles de la Commission européenne ou des autorités de protection des données personnelles, qui sont susceptibles d’être invalidées, notamment les décisions concernant les accords contraignants d’entreprises (Binding Corporate Rules) et les clauses contractuelles.

Nonobstant, le transfert de données personnelles en dehors de l’UE n’en demeure pas moins une pratique quotidienne constituante de l’économie numérique. Il importait donc de trouver rapidement un successeur au Safe Harbor afin d’apporter une certaine sécurité juridique aux citoyens comme aux entreprises. De façon inédite, le Privacy Shield prévoit la création d’un médiateur (« Ombudsperson ») auprès duquel sont déposées les plaintes provenant des citoyens européens ainsi que d’autres possibilités de recours : les citoyens peuvent s’adresser soit directement à l’entreprise concernée, soit à l’autorité nationale de protection des données de leur Etat (en France la Cnil) qui collaborera avec la Commission fédérale du commerce des États-Unis. Lorsqu’un litige n’est pas réglé par l’un de ces moyens, un mécanisme d’arbitrage est disponible, en dernier ressort.

Pour autant, le Privacy Shield n’a pas fait consensus auprès des États membres, l’Autriche, la Croatie, la Slovénie et la Bulgarie ayant préféré s’abstenir. Finalement entré en vigueur le 1er aout 2016, l’accord s’applique uniquement aux entreprises américaines qui y adhèrent : au 13 février 2017, 1649 d’entre elles s’étaient auto-certifiées.

Nul doute qu’après les révélations d’Edward Snowden, la médiatisation de l’exploitation des données personnelles, et plus récemment la mise en lumière des activités de la NSA par le célèbre réalisateur Américain Oliver Stone dans son film intitulé « Snowden », ce sont bien des attentions toutes particulières qui se porteront sur l’examen scrupuleux de cette évaluation. D’autant que le Privacy Schield suscite une variété large de considérations allant au mieux du doute poli de certaines personnalités, comme le député européen Claude Moraes, en passant par « d’importantes préoccupations » pour les Cnils européennes, au pire à la polémique quant à sa réelle cohérence et son efficacité.

Les enjeux sont réels, les conséquences tangibles et l’économie numérique, à l’échelle planétaire, bien dépendante des questions liées aux données personnelles. Et ce ne sont certes pas les GAFA qui viendraient contredire l’importance collective et sociétale accordée au cœur de leur principal modèle économique.

Pour aller plus loin :
Les données personnelles dans les traités et accords internationaux : le Privacy Shield, 13e Rencontre de la Chaire Valeurs et Politiques des Informations Personnelles de l’Institut Mines-Télécom, 6 janvier 2017.

 
Claire Levallois-Barth
Coordinatrice de la Chaire, Maître de conférences en droit
Télécom ParisTech

Ivan Meseguer
Cofondateur de la Chaire, Affaires Européennes
Institut Mines-Télécom

A propos de Claire Levallois-Barth

Claire Levallois-Barth est maître de conférences en droit à Télécom ParisTech. Elle s’intéresse à l’évolution de la protection des libertés et droits fondamentaux à l’ère numérique. Elle se concentre en particulier sur la question de la protection des données personnelles, notamment dans le contexte du big data, ainsi que sur la gestion des identités numériques. Elle est co-fondatrice et coordinatrice de la chaire Valeurs et Politiques des Informations Personnelles de l’IMT (Institut Mines-Télécom) : www.informations-personnelles.org

A propos de Télécom ParisTech

Télécom ParisTech est la première grande école française d’ingénieurs généralistes du numérique. Ses diplômés intègrent tous les secteurs d’activité. Avec des enseignements et une recherche d’excellence sur tout le champ du numérique, Télécom ParisTech est au cœur d’un écosystème d’innovation unique fondé sur l’interaction et la transversalité de sa formation, son centre de recherche et ses deux incubateurs d’entreprises. Ecole de l’IMT (Institut Mines-Télécom), Télécom ParisTech est membre du réseau ParisTech et se définit comme le Collège de l’innovation par le numérique de l’Université Paris-Saclay, dont l’ambition est de devenir l’un des premiers pôles d’innovation mondiaux.
www.telecom-paristech.fr

X
X