Publication du contenu du « Privacy Shield » :
Le 2 février, la Commission européenne a annoncé avoir trouvé un accord avec les Etats-Unis sur la base d’un nouveau « bouclier de protection » (« Privacy Shield »), supposé remplacer et améliorer le Safe Harbour, invalidé par la Cour de Justice de l’Union européenne le 6 octobre 2015. Le contenu de cet accord a été publié le 29 février.
En plus du projet de décision d’adéquation proprement dite, la Commission a transmis une communication en date du même jour qui expose le contexte de cette décision, un ensemble de questions / réponses, un tableau présentant le futur système ainsi qu’une série d’annexes qui explicitent les engagements pris par les autorités américaines.
Le contenu de ces annexes est particulièrement sensible puisqu’il reprend et synthétise les engagements américains, en fixant très concrètement le cadre des futurs transferts. Parmi ces annexes, les plus importantes semblent être :
Annexe 1 : Courriers adressés à la commissaire à la Justice, Véra Jourova le 23 février 2016 par le secrétaire américain au Commerce, Penny Pritzker et par le sous-secrétaire américain au commerce international, Stefan M. Selig qui rappellent les engagements pris par les autorités américaines au regard des données transférées ;
Annexe 2 : Principes du « bouclier de protection » délivrés par le département américain du Commerce. Cette annexe constitue l’une des clés du futur bouclier et en est le contenu concret, comme l’était l’annexe 1 du Safe Harbour ;
Annexe 3 : Courrier de John Kerry secrétaire d’Etat américain à V. Jourova en date du 22 février 2016, confirmant la mise en place du mécanisme d’ombudsman dédié au « bouclier de protection » ;
Annexe 6 : Courrier de Robert S. Litt (National Intelligence) au département du Commerce et à l’administration du commerce international, en date du 22 février 2016 résumant les informations apportées à la Commission au regard des liens entre les programmes de renseignement américain et le « bouclier de protection » ;
Annexe 7 : Courrier de Bruce C. Swartz (US Department of Justice – Criminal Division) au département du Commerce et à l’administration du commerce international en date du 19 février 2016 présentant les modalités selon lesquelles des données (et notamment celles issues du « bouclier de protection ») peuvent être saisies, à des fins répressives.
De façon générale, ces annexes complètent de façon significative le projet de décision d’adéquation et ses principes (annexe 2), et sont bien plus développées que celles de la décision « Safe Harbour », avec un grand luxe de détails. Elles traduisent la volonté de la Commission européenne de valoriser les engagements américains, au-delà des principes repris et développés par le département américain du Commerce et d’anticiper d’ores et déjà un argumentaire précis.
Plusieurs observations peuvent être faites à ce stade des discussions :
1/ La Commission doit agir rapidement, du fait de la pression des acteurs économiques, dans un environnement politique contraint par la jurisprudence de la CJUE et les exigences du Parlement européen comme du G29 ou de certains Etats membres. Sa présentation optimiste du projet de « Privacy Shield » constitue aussi un exercice obligé alors que de nouvelles phases de négociation pourraient être nécessaires pour procéder à des ajustements. Sa priorité est désormais de se concentrer sur les concessions obtenues afin d’offrir une nouvelle légitimité à ces transferts de données et de leur garantir une sécurité juridique renforcée.
2/ L’annexe 1 prévoit de nombreux dispositifs très précis : mécanismes renforcés de protection des données, certifications annuelles des mécanismes de compliance et des recours gratuits ouverts aux citoyens européens, publication des cas où des non-respects des principes du « bouclier » auraient été mis en évidence, maintien d’une liste encadrée des entreprises souscrivant aux engagements du « bouclier de protection », conduite d’enquêtes d’office par le département du Commerce en lien avec les autorités compétentes de protection des données ou encore transparence accrue vis des particuliers. Ces obligations se rapprochent dans les termes utilisés de la législation européenne en matière de protection des données, ce qui constitue un signal politique net.
3/ Les dispositions de l’annexe I sont renforcées par celles de l’annexe II qui prévoit également un catalogue très détaillé et diversifié d’engagements, au titre des principes de base (information, choix (opt-out), responsabilité lors des transferts à des tiers, sécurité, intégrité des données, accès, recours) et des principes secondaires (données sensibles, exceptions, rôle des autorités de protection des données, auto-certification, vérification, droit d’accès (défini comme fondamental), mécanismes de règlement des litiges (avec un engagement du FTC de procéder à un contrôle annuel d’éventuelles difficultés).
4/ L’annexe VI pourrait être la plus polémique au vu de ses références au traitement en masse des données par les autorités américaines (« bulk data »). En, effet, si ce document évoque le cadre juridique mis en place à travers le PPD-28 (« Presidential Policy Directive » de janvier 2014) relatif aux activités de renseignement américaines, il n’en rappelle pas moins la possibilité limitée de collecter des données en masse voire la justifie dans certains cas précis (identification de nouvelles menaces, sécurité nationale etc…).
Même si le recours à ce type de collecte reste en principe exceptionnel et fait l’objet d’un encadrement renforcé, cette référence pourrait être problématique dans le cadre des prochaines discussions sur le bouclier de protection. Rappelons que la CJUE a estimé dans son arrêt du 6 octobre dernier (§94) qu’une « règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée tel que garanti par l’article 7 de la Charte ». Reste à déterminer comment les garanties apportées à l’annexe VI et prévues dans le cadre du PPD-28 pourraient être de nature à contre balancer cette possible atteinte à un droit fondamental.
5/ La mise en place d’un ombudsman est-elle une garantie supplémentaire permettant de participer à l’encadrement des missions des services de renseignement entrepris en 2014 ? Sa création récente ne donne cependant que peu de recul quant aux garanties concrètes qu’elle pourra apporter. L’adoption du Judicial Redress Act et l’ouverture dans certaines conditions de recours judiciaires au bénéfice des citoyens européens aux Etats-Unis pourrait aussi entrer en ligne de compte, au crédit des autorités américaines.
Procédure d’adoption du futur « Privacy Shield » :
Ce projet de décision d’adéquation doit maintenant être transmis au comité article 31, comprenant des représentants des Etats membres avant une décision finale du collège des commissaires, conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.
Le G29 regroupant les autorités de protection des données ne devrait pas manquer de formuler de nouvelles observations sur le contenu de cet accord : ses quatre séries d’observations formulées lors de sa réunion des 3 et 4 février dernier constituent d’ores et déjà la base de contre-propositions ou au minimum d’un examen très détaillé.
Le Parlement européen (qui n’a pas à être formellement consulté dans le cadre de cette procédure) devrait rester particulièrement impliqué politiquement et veiller aux équilibres de la future décision. Plusieurs parlementaires se sont déjà inquiétés d’une simple opération « cosmétique » qui ne modifiera pas les carences originelles du « Safe Harbour » à l’instar de Jan Philipp Albrecht, eurodéputé vert allemand et rapporteur du paquet « protection des données ».
Le feuilleton « Safe Harbour » devrait donc rapidement connaître de nouveaux développements. L’ampleur des transferts de données concernées milite en tout état de cause pour une sécurité juridique renforcée, sur la base d’un consensus marqué.
