Privacy Shield : un an plus tard, l’efficacité du bouclier européen reste difficile à mesurer

En un an, l'accord entre l'UE et les Etats-Unis sur la protection des données européennes outre-Atlantique a surtout été une question de conformité. 2 400 entreprises américaines se sont enregistrées, pour accéder au vieux continent, mais très peu de plaintes valides ont été reçues.

La Commission européenne fête le premier anniversaire du Privacy Shield, le bouclier censé protéger les données des Européens transférées aux États-Unis. Signé en juillet 2016 et appliqué un mois plus tard, l'accord remplace l'antique Safe Harbor invalidé par la Cour de justice de l'Union européenne (CJUE) en octobre 2015, suite à l'affaire Max Schrems.

À la mi-septembre, des réunions ont été organisées à Washington pour tirer ce premier bilan. Autour de la table : les autorités, des acteurs publics, privés ainsi que les autorités de protection des données (CNIL européennes).

Un an après sa mise en place, le Privacy Shield protège-t-il vraiment les Européens face à un traitement indésirable de leurs données outre-Atlantique ? Difficile à dire, tant l'opacité semble pour le moment régner sur les chiffres et les éventuelles retombées de recours de citoyens européens. Tout juste peut-on le voir brandi par de grandes sociétés comme Google et Microsoft, face aux inquiétudes de clients professionnels du vieux continent.

Peu après sa signature, l'accord subissait de vives critiques du G29, le groupe des CNIL européennes, qui pointaient le manque de garanties pour les Européens, notamment face à la surveillance de masse. Aujourd'hui, en toute diplomatie, la Commission européenne estime que son dispositif fonctionne, malgré quelques aménagements bienvenus.

Très peu de conséquences chiffrées

La Commission semble peu fière des statistiques de cette première année. Elles ne sont recensées qu'au milieu du document de travail publié, non dans le communiqué ou les questions-réponses officielles.

À la mi-septembre, 2 400 entreprises avaient été certifiées, pour continuer à récupérer en toute quiétude les informations d'Européens. 400 autres étaient en attente au département américain du Commerce, pour une vingtaine de demandes hebdomadaires. Et la fraude ? Les dossiers de onze entreprises clamant être conformes ont été transmis à la Commission fédérale du commerce (FTC) pour vérification, à cause de dossiers incomplets après 45 jours de procédure. En clair, pas de gros problème sur ce front.

Qu'en est-il des réclamations ? Seules sept entreprises ont recensé des plaintes dans le cadre du Privacy Shield, selon les organisations professionnelles interrogées. Conclusion : le dispositif n'est pas assez connu.

Du côté des mécanismes indépendants de recours (IRM en VO), désignés par certaines entreprises, la majorité des demandes n'ont pas été émises dans le cadre du « bouclier ». Better Business Bureau (BBB) a reçu 180 plaintes, dont 179 ont été jugées hors cadre ; la dernière est toujours en étude de recevabilité.

TRUSTe a, pour sa part, accueilli 788 plaintes dont cinq à peine ont mené à une enquête sérieuse, une à des changements chez l'entreprise visée. Enfin, la Data & Marketing Association recense 14 plaintes dont deux étaient dans le cadre. Le document de travail appelle simplement à standardiser ces données.

« La FTC a reçu trois plaintes liées au Privacy Shield sur la première année. Aucune ne provenait de l'Union européenne. Le département du Commerce et les autorités nationales [CNIL] n'ont reçu aucune plainte » recense timidement le document, dans une marée de texte.

Renforcer les contrôles, sécuriser le droit américain

La Commission, responsable de l'accord côté européen, recense plusieurs changements à mener dans les mois à venir. L'institution demande que le département américain du Commerce vérifie plus régulièrement la conformité des entreprises au Privacy Shield, en cherchant activement les entreprises mentant sur leur inscription. Avec près de 3 000 sociétés dans le circuit, ce contrôle peut s'avérer fastidieux.

Elle compte aussi mieux sensibiliser les Européens sur leurs droits, tout en renforçant la coopération entre le département du Commerce, la Commission fédérale du commerce (FTC) et les CNIL européennes. La priorité : mieux guider les entreprises et autorités dans leur application de l'accord.

Doit aussi être institué un Privacy Shield Ombudsperson (médiateur) permanent, les postes vacants devant être remplis par le Privacy and Civil Liberties Oversight Board (PCLOB) américain. Pourtant, comme le pointait en février 2016 la médiatrice européenne Emily O'Reilly, cette personnalité est censée être indépendante...

Ce rôle de médiateur, côté américain, doit aussi être garanti. La Commission veut « sanctuariser » les dispositions de la directive présidentielle américaine PPD-28, dont dépend ce statut. Le texte pose un cadre pour la collecte de données à l'étranger par les services de renseignement. Elle doit être autorisée par un juge et strictement nécessaire. Il faut donc l'imposer dans le travail actuel autour du Foreign Intelligence Surveillance Act (FISA), qui régit la surveillance des États-Unis à l'étranger.

Des dossiers chauds qui peuvent interférer

Le Privacy Shield reste une solution d'urgence, après l'invalidation du Safe Harbor. Le 25 mai 2018, le Règlement général de protection des données (RGPD) affectera l'ensemble des sociétés traitant des données de citoyens européens, y compris américaines. Il ajoutera de nombreuses obligations (et sanctions) si un traitement n'est pas consenti ou en cas de fuite de données.

En parallèle, le règlement ePrivacy doit combler les angles morts du RGPD, notamment sur les métadonnées. Autant dire que le cadre légal deviendra plus strict pour les sociétés opérant des deux côtés de l'Atlantique.

Pourtant, le principal risque pourrait être judiciaire. La Cour suprême américaine vient de prendre en main un différend entre Microsoft et le département de la Justice, qui cherche à accéder à des e-mails stockés en Irlande. Pour l'entreprise, les Irlandais ont leur mot à dire. Pour le ministère de la justice, Microsoft étant une société américaine, il n'y a pas de raison de chipoter sur la localisation physique des informations.

La décision de la Cour suprême doit amener une jurisprudence essentielle, à même d'affecter l'étendue des juridictions, comme nous le détaillait aujourd'hui l'avocat Jean-Sébastien Mariez.