Données personnelles : les eurodéputés s’inquiètent de la solidité du Privacy Shield

Au travers d’une résolution adoptée au Parlement européen, les députés s’inquiètent « de l’affaiblissement de la protection de la vie privée aux États-Unis ». Un affaiblissement qui heurte l’accord Privacy Shield, censé protéger les données personnelles des Européens outre-Atlantique.

Depuis le 1er août 2016, le Privacy Shield permet aux entreprises installées outre-Atlantique d’importer et d’y traiter les données personnelles aspirées en Europe. La mesure suppose d’abord l’inscription dans un registre et le respect de plusieurs obligations prévues par cet accord signé entre la Commission européenne et les États-Unis.

L’avènement de ce bouclier de protection a été rendu nécessaire suite à l’invalidation de l’accord antérieur, le Safe Harbour. Signé en 2000 dans les mêmes conditions, il a été étrillé par la Cour de justice de l’Union européenne. Éclairés par les révélations Snowden, les juges ont considéré que les traitements réalisés de l’autre côté de l’Atlantique ne garantissaient vraiment plus le même niveau de garanties qu’en Europe.

Le Privacy Shield est censé offrir un meilleur niveau de protection, vérifié au surplus par un réexamen annuel afin de jauger la solidité des engagements dans le temps. Si cette étape est prévue pour septembre, la situation actuelle aux États-Unis est source de vives inquiétudes sur le Vieux Continent. En séance, Věra Jourová, commissaire européenne des affaires juridiques, a eu beau féliciter les autorités américaines pour leur collaboration dans la mise en œuvre de l’accord, les eurodéputés ont malgré tout adopté une résolution par 306 voix pour, 240 contre et 40 abstentions pour s’inquiéter de la situation. 

Une liste de vives inquiétudes

Cette résolution n’a, certes, pas de valeur juridique, mais est le témoignage d’un signal politique fort. La liste des inquiétudes, énumérées par un communiqué de la Commission des affaires juridiques, est longue : « Les nouvelles règles permettant à la NSA, depuis janvier 2017, de partager avec 16 autres agences, dont le FBI, de grandes quantités de données personnelles collectées sans mandat ni décision de justice ou autorisation du Congrès », « les postes vacants dans les organismes de surveillance américains » notamment au sein du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB), ou encore les collaborations entre Yahoo, la NSA et le FBI dans la surveillance des correspondances privées. 

Ce n’est pas tout : les eurodéputés épinglent aussi la liberté accordée aux fournisseurs d’accès Internet à « vendre ou partager des données de navigation internet ainsi que d’autres informations privées avec les annonceurs et d’autres sociétés privées ». Dans le texte, ils dénoncent aussi « le manque d’indépendance du mécanisme de médiateur mis en place par le département d’État américain, et le fait que le gouvernement américain actuel n’ait pas nommé de nouveau médiateur ». Enfin, ils n’ont pas la certitude de l’existence « de véritables droits à un recours juridictionnel pour les citoyens de l’UE dont les données sont transférées aux États-Unis ».

Les députés demandent du coup à la Commission européenne de « réaliser une évaluation appropriée et à s’assurer que le bouclier de protection entre l’UE et les États-Unis relatif aux transferts de données à des fins commerciales offre une protection suffisante des données personnelles des citoyens de l’UE ».

Des lacunes à combler

Selon Claude Moraes (S&D, Royaume-Uni), président de la commission des libertés civiles, il y a bien eu des améliorations entre le Safe Harbor et le Privacy Shield, mais « nous constatons des lacunes qu’il faut combler de façon urgente afin de garantir une certitude juridique à tous les citoyens et les entreprises qui dépendent de cet accord » explique-t-il.

Le Privacy Shield n’exige pas que le niveau de protection soit identique à celui en vigueur en Europe, mais à tout le moins équivalent. L’arrivée de Donal Trump a évidemment inquiété plusieurs eurodéputés en séance hier au Parlement.

« Si le Privacy Shield est moins pire que le Safe Harbor, il n’en reste en effet pas moins insuffisant : le Médiateur n’est pas assez indépendant, les mécanismes de recours pour les Européens ne sont pas assez solides et la surveillance indiscriminée par les agences de renseignement américaines reste possible » estiment par exemple les eurodéputés socialistes.

« Le texte, ajoutent-ils, reste flou d’un point de vue juridique, ce qui pourtant est indispensable pour la confiance des citoyens. C’est pourquoi nous ferons tout pour rendre cet accord plus solide dans les discussions à venir. »

Les critiques adressées par le G29

La résolution adoptée aujourd’hui est accompagnée également des critiques du Groupe de l’article 29, lequel concentre l’ensemble des autorités de contrôle des données personnelles. Isabelle Falque-Pierrotin, sa présidente, de retour d’une visite aux États-Unis, a regretté que plusieurs points clés de l’architecture du Privacy Shield « doivent toujours être définitivement désignés suite aux élections américaines ».

Comme les eurodéputés, en prévision du réexamen annuel, la présidente de la CNIL demande aux autorités américaines d’ouvrir l’accès aux documents. « Il est essentiel que les autorités américaines fournissent ces éléments et démontrent aux acteurs de l’Union européenne que le système est en place et fonctionne efficacement afin que le Privacy Shield assure une protection réelle et efficace des données selon les standards européens. »

Le G29 s’est aussi fait écho des critiques adressées par la société civile, notamment la lettre ouverte de plusieurs ONG en date du 28 février, qui épingle la Section 702 du Foreign Intelligence Surveillance Act. Cette disposition autorise les agences de sécurité à collecter les données des étrangers qui se trouvent sur des serveurs installés sur le sol américain.

Et pendant ce temps, le recours de la Quadrature et FDN

Les députés européens avaient déjà adopté une résolution critique en mai 2016, restée sans effet. Rappelons enfin que la Quadrature du Net, French Data Network (FDN) et la Fédération FDN ont lancé une procédure devant la CJUE afin d’obtenir justement l’annulation de cet accord. Plusieurs reproches ont été pointés dans leur requête notamment ces possibilités d’exploitation jugées trop floues des données collectées ou encore un droit au recours non effectif. L’affaire sera jugée dans plusieurs mois par les juges européens.