linkedintwitter

EU US PRIVACY SHIELD: La toile de fond

Selon la directive protection des données, les transferts de données vers des pays en dehors de l’Europe ne sont autorisés que s’ils présentent un niveau de protection adéquat. Par l’arrêt Schrems, la cour de justice européenne avait, il y a quelques temps, invalidé la décision de la Commission prise depuis 2000 reconnaissant les États­Unis comme un pays sûr, à qui il était possible de transférer des don­ nées. Une des conséquences de l’affaire Snowdon.
Suite à l’arrêt de la cour, le transfert de données personnelles à des sociétés américaines ne pouvait plus être fondé sur le principe de Safe Harbor. L'arrêt avait également confirmé l'indépendance et la souveraineté des autorités nationales de protection des données en la matière qui devaient donc se prononcer au cas par cas sur les demandes de transfert vers les Etats Unis.

Le groupe article 29, regroupant les autorités de protection la vie privée nationale (DPA’s) a récemment utilisé ce pouvoir pour donner un ultimatum aux autorités européennes et américaines de mettre les choses en ordre pour le 1er février. L’épée de Damoclès pendait sur les autorités et les entreprises se trouvaient prises en otage au milieu.
On a accouché ce 2 février, de l’ « EU US Pivacy Shield ».

Les États­Unis prévoiront un ombudsman auquel peuvent s’adresser les citoyens européens pour déposer plainte sur un accès possible par les autorités nationales de renseignement et peuvent également déposer plainte auprès des entreprises. Ils peuvent aussi utiliser un mécanisme alternatif de résolution des conflits gratuit (ADR Alternative Dispute Resolution.). Enfin, les citoyens peuvent toujours déposer plainte auprès de leur DPA qui peuvent transférer la plainte aux autorités américaines.

L’Europe a obtenu la garantie qu’il n’y aura pas de surveillance massive des citoyens européens sauf circonstances exceptionnelles. L’accord doit être formalisé par écrit dans trois semaines. Fin mars, le groupe article 29 devra donner son aval.
Sans cet accord, ce sont surtout les entreprises européennes qui auraient trinqué. Plus de 4.000 entreprises américaines, par contre, ont utilisés l’annulation du Safe Harbor pour conserver des données européennes aux États­Unis. Comme Google, Facebook, Twitter et autres comiques.

L’Europe politique a eu quelques sueurs froides à cette occasion. Et oui, le gouvernement américain est moins scrupuleux que les autorités européennes pour fouiller dans les données personnelles pour des motifs de sécurité. Or, des 25 grandes sociétés d’Internet, 15 ont leur siège aux États­Unis et seulement une seule en Europe. Les grands serveurs stockant des données se trouvent essentiellement aux États­Unis. Les sociétés américaines ayant reçu des données européennes étaient obligées par les lois américaines de coopérer avec les services secrets. Si elles opéraient en Europe, elles devaient également garder leurs données à disposition des autorités américaines. Et Facebook est toujours à l’ordre du jour.

Les autorités européennes ont attrapé peur et la peur est mauvaise conseillère…. Ennuyeux dans un con­ texte où il faudra négocier la directive E­Privacy pour le secteur digital dont le fonctionnement est essentiellement conditionné par les données traversant les frontières. La toile de fond est dessinée.