L'UE adopte un nouveau cadre juridique pour le transfert des données personnelles vers les USA
- Avec AFP
La Commission européenne a annoncé le 12 juillet le lancement d'un nouveau cadre juridique pour protéger les données personnelles des citoyens européens transférées aux autorités américaines.
Le «Privacy Shield», bouclier de protection des données, négocié pendant plus de deux ans avec Washington, va «protéger les données à caractère personnel des Européens et procurer une sécurité juridique aux entreprises», a assuré la commissaire européenne à la Justice, Vera Jourova. «Ce nouveau cadre rétablira la confiance des consommateurs dans le contexte du transfert transatlantique de données», a-t-elle plaidé.
Ces données englobent toutes les informations pouvant permettre d'identifier un individu, de manière directe (nom, prénom ou photo) ou indirecte (numéro de sécurité sociale ou même numéro de client).
Plusieurs milliers d'entreprises, allant des PME à des géants de l'internet, transfèrent ce type de données recueillies sur le sol européen vers des «data centers» (centres de stockage données) aux Etats-Unis.
Don't doubt it, Privacy Shield is going to be challenged in court https://t.co/bL73x9i9eH
— JamesBurnsConsulting (@jburnsconsult) 12 juillet 2016
Ce stockage se faisait à la faveur d'un vide juridique depuis que la justice européenne avait invalidé avec fracas, en octobre 2015, le précédent cadre légal qui régissait ces transferts, connu sous le nom de «Safe Harbour».
La Cour de justice de l'UE avait alors estimé que «Safe Harbour» n'offrait plus les garanties suffisantes aux Européens, à la lumière des révélations de l'ancien consultant Edward Snowden sur l'ampleur des programmes de surveillance aux Etats-Unis.
Début février, la Commission européenne a annoncé avoir trouvé un «accord politique» avec les Etats-Unis, esquissant le nouveau «Privacy Shield», qu'elle a ensuite continué de peaufiner jusqu'à la nouvelle étape franchie le 12 juillet.
EU-U.S. Privacy Shield: stronger obligations on U.S. companies to protect our personal data https://t.co/5j7ono5SWqpic.twitter.com/13qEKAOkdt
— EC in UK (@EUlondonrep) 12 juillet 2016
Formellement, l'exécutif européen a adopté le 12 juillet une «décision d'adéquation», qui garantit aux 28 Etats membres que les Etats-Unis offrent désormais une protection suffisante aux Européens, grâce à une série d'engagements pris par Washington.
Cette décision «sera notifiée aujourd'hui aux Etats-membres et entrera en vigueur immédiatement», a indiqué la Commission. Les autorités américaines devront de leur côté rapidement ouvrir la possibilité pour les entreprises d'obtenir une certification sur leur sol, qui vaudra engagement de respecter les nouvelles règles.
#PrivacyShield allows companies to "self-certify". Great news everyone! It's a certified data company! pic.twitter.com/3gOByRgVmH
— Hacker Fantastic (@hackerfantastic) 12 juillet 2016
Le nouveau «bouclier» prévoit notamment des obligations pour les entreprises et l'installation d'un médiateur au sein du département d'Etat américain, pour suivre les éventuelles plaintes de ressortissants européens concernant un accès abusif à leurs données personnelles.
Des trous dans le nouveau «bouclier» pour protéger les données des Européens sur le sol américain?
Le Bureau européen des unions de consommateurs (BEUC) a cependant déploré les «trous» du nouveau «bouclier», avec notamment des mécanismes de recours jugés trop complexes, doutant de sa validation par la justice européenne.
Max Schrems, le pugnace requérant autrichien à l'origine de l'invalidation de «Safe Harbour», s'est dit convaincu mardi que la Cour de Luxembourg ferait de même avec le «Privacy Shield» en cas de nouvelle affaire portée devant elle.
Press breakfast with @maxschrems this morning on adoption of #PrivacyShield. My statement: https://t.co/Om69b0a2wTpic.twitter.com/63ePj3JsQp
— Jan Philipp Albrecht (@JanAlbrecht) 12 juillet 2016
L'eurodéputé Vert Jan Albrecht a, quant à lui, dénoncé un «chèque en blanc» en matière de surveillance de masse. Le Parlement européen avait appelé fin mai la Commission à poursuivre ses négociations avec Washington pour combler les failles du nouvel accord, qui n'était alors pas finalisé.
Mi-avril, les autorités européennes indépendantes de protection des données personnelles (réunies au sein d'un groupe appelé G29) avaient elles aussi demandé des améliorations, laissant planer la possibilité d'actions en justice si ce n'était pas le cas.
Le G29 «mène actuellement une analyse de la décision de la Commission et se réunira le 25 juillet afin de finaliser sa position», a-t-il indiqué dans un communiqué.