L’accord Privacy Shield entre l’Europe et les Etats-Unis est de nouveau remis en cause à la suite d’une mise en garde adressée à la Commission européenne par deux organisations internationales.
C’est dans une lettre en date du 26 juillet 2017 que Human Rights Watch et Amnesty International ont appelé la Commission européenne à reconsidérer l’opportunité de la mise en œuvre de l’accord Privacy Shield. Selon les deux groupes, les garanties fournies par les lois américaines concernant la surveillance des données (notamment l’Executive Order 12333 et le Foreign Intelligence Surveillance Act) sont notablement plus limitées que celles fournies non seulement en Europe mais également au niveau international. Par ailleurs, la lettre avance le fait que les Etats-Unis ne prévoient pas de sanction suffisante, comparé au droit européen, contre la violation des droits fondamentaux résultant d’activités de renseignement et de surveillance.
Or, le fait que les standards américains en matière de surveillance de masse ne répondent pas aux standards européens signifierait que l’accord Privacy Shield entre les deux pays n’est pas valide.
En effet, en vertu de l’article 25 de la directive 95/46/CE du 24 octobre 1995, le transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat. Un niveau de protection adéquat peut résulter d’une décision d’adéquation par laquelle la Commission européenne constate que la protection mise en œuvre dans le pays tiers est suffisante au regard de la directive 95/46 (et bientôt du Règlement UE 2016/679 sur la protection des données, dit « RGPD »).
C’est ainsi que la Commission européenne avait reconnu que l’accord « Safe Harbor » signé en 2000 afin de faciliter le transfert de données personnelles de l’Europe vers les Etats-Unis par les entreprises internet (telles que Google, Facebook ou encore Amazon) offrait un niveau de protection suffisant.
Mais après les révélations d’Edward Snowden concernant les collectes d’informations effectuées par les renseignements américains, cet accord avait été invalidé par la Cour de justice de l’Union européenne dans une décision en date du 6 octobre 2015. C’est dans ce contexte que le nouvel accord « Privacy Shield » entre l’Europe et les Etats-Unis avait alors été négocié, pour aboutir, après un avis mitigé du Groupe de travail « Article 29 » (dit « G29 »), à son approbation par la Commission européenne.
Plus récemment, le G29 avait toutefois validé le contenu du « Privacy Shield », estimant qu’il répondait enfin, sous réserve d’une application rigoureuse par les entreprises et les autorités américaines, au niveau d’exigence défini en droit européen. En particulier, les données des européens stockées dans les datacenters aux USA devaient pouvoir échapper au Patriot Act, les personnes physiques devaient avoir le droit de solliciter directement des prestataires américains la mise en œuvre de leurs droits sur leurs données, les CNIL européennes pouvaient investiguer directement auprès des entreprises US adhérentes, le Département du commerce US devait avoir un rôle plus actif dans le contrôle de conformité, etc.
Mais à la lumière d’une comparaison détaillée entre législations américaine et européenne, Human Rights Watch et Amnesty International expriment leur désaccord avec cette décision de compatibilité, et exhortent la Commission européenne à réviser sa décision autorisant la mise en œuvre de l’accord « Privacy Shield ». Par ailleurs, les deux organisations demandent à la Commission d’encourager le gouvernement américain à véritablement réformer ses lois afin de permettre une mise en conformité des transferts de données personnelles au droit européen.
Depuis l’existence d’une coopération entre Europe et Etats-Unis quant aux transferts de données personnelles, le « Safe Harbor », et actuellement, le « Privacy Shield », ont toujours fait l’objet de vives critiques de la part de divers acteurs, critiques qui ont été exacerbées par l’arrivée de Donald Trump à la présidence des Etats-Unis. Ainsi, le 28 février 2017, Human Right Watch avait déjà adressé une lettre à la Commission européenne et au G29 pour les alerter des risques induits par les changements de la législation américaine par l’administration Trump.
La publication de la lettre de Human Rights Watch et Amnesty International intervient un mois avant que le fonctionnement du « Privacy Shield » entre les deux continents soit scruté de plus près par les autorités européennes, à l’aune du RGPD européen. En septembre 2017, des fonctionnaires européens se rendront en effet à Washington pour examiner la façon dont l’accord est appliqué par l’administration Trump. La lettre incitera probablement ces fonctionnaires à accorder une attention toute particulière quant à l’application du « Privacy Shield » aux Etats-Unis.
On ignore cependant s’ils rendront une décision aussi radicale que le point de vue exprimé par les associations de protection des droits de l’Homme, ou s’ils redouteront de remettre en jeu une nouvelle fois l’encadrement négocié des flux transatlantiques de données personnelles. De cette décision dépend pourtant à la fois l’effectivité des protections des données personnelles mises en place par le RGPD, qui s’imposent y compris aux entreprises américaines dès lors qu’elles traitent des données personnelles d’européens ou observent leur comportement en ligne, et partant, la possibilité d’une véritable concurrence, non faussée, entre entreprises du numérique américaines et européennes…