Article IT et données personnelles Droit de la concurrence, consommation et distribution Contrats commerciaux et internationaux | 09/06/17 | 5 min. | Florence Chafiol
La première revue annuelle du Privacy Shield (bouclier de protection des données UE-États-Unis « EU-US Privacy Shield ») aura lieu en septembre 2017 à Washington, D.C. Ce premier réexamen est particulièrement important pour cet accord naissant. En effet, les autorités de contrôle et de surveillance américaines et européennes vont devoir passer au crible le fonctionnement du Privacy Shield au cours de sa première année d’application, observer de près les opérations de transfert intervenues au cours de cette première année, répondre aux nombreuses préoccupations soulevées et devront au final s’assurer que le Privacy Shield peut toujours servir de base légale pour le transfert des données à caractère personnel entre l’Union européenne et les États-Unis. Il s’agira donc de dresser un bilan détaillé du respect des garanties prévues dans l’accord.
Ce réexamen annuel conjoint prévu par les accords sur le Privacy Shield doit être mené par le ministère américain du commerce (le « Department of Commerce ») et la Commission européenne (la « Commission »). Y participeront également la FTC (Federal Trade Commission), les autorités de l'Union européenne chargées de la protection des données, des représentants du groupe de travail de l’Article 29 (le G29), ainsi que d’autres services et agences participant à la mise en œuvre des dispositions du Privacy Shield. Les autorités de contrôle et de surveillance ont également indiqué qu’elles prévoyaient de recueillir, dans le cadre de ce réexamen, les avis et commentaires d’autres parties prenantes du Privacy Shield tels que ceux d’entreprises auto-certifiées et d’autres organismes concernés.
Bien qu’il s’agisse du premier réexamen annuel, l’opinion publique et les parties prenantes ne se sont toutefois pas privées de le commenter à maintes reprises : tout d’abord, plusieurs mois se sont écoulés entre la publication du projet de texte du Privacy Shield en février 2016 et son adoption définitive en juillet 2016 permettant, grâce à ces commentaires, d’apporter des révisions améliorant et renforçant la protection apportée par le Privacy Shield. Cet examen approfondi s’est d’ailleurs poursuivi après l’adoption du Privacy Shield. Tout au long de l’année, les législateurs européens et les ONG européennes, ainsi que les industriels européens et américains, ont débattu de la validité et de l’intérêt du Privacy Shield et le réexamen de l’accord en septembre permettra de faire remonter les problématiques rencontrées par les 2000 organisations s’étant jusqu’à présent auto-certifiées au Privacy Shield. À noter à cet égard qu’à ce jour, aucune plainte relative au Privacy Shield qui n’aurait pu être résolue en interne par ces entreprises ne semble avoir été enregistrée.
Dans ce contexte, même s’il est impossible de prédire les conclusions du réexamen annuel conjoint du Privacy Shield, on peut toutefois relever certains développements importants survenus au cours des douze derniers mois :
- En vertu de la réglementation européenne, un recours juridictionnel pour obtenir l’annulation du Privacy Shield pouvait être introduit devant la Cour de justice de l’Union européenne deux mois après sa publication au Journal officiel de l’Union européenne. Bien que deux recours juridictionnels aient été déposés par deux ONG (Digital Rights Ireland et La Quadrature du Net), aucune des institutions européennes ni aucun État membre n’a choisi d’introduire un tel recours contre le Privacy Shield, ce qui peut permettre de laisser présager d’une certaine robustesse du texte.
- Le Parlement européen a récemment adopté une résolution dans laquelle il émet certaines réserves au sujet du Privacy Shield. Il a cependant reconnu les « améliorations notables » par rapport au dispositif précédent (le « Safe Harbor ») et a souligné l’importance d’un « examen complet et approfondi » du Privacy Shield lors du premier réexamen annuel.
- Dans cette résolution adoptée par le Parlement européen, les eurodéputés ont fait part de leur inquiétude de voir l’Administration Trump accorder un engagement moindre au Privacy Shield que l’Administration Obama, qui avait négocié et finalisé l’accord l’année dernière. Toutefois, les représentants de l’Administration Trump n’ont communiqué aucune information selon laquelle ils accorderaient moins d’importance au Privacy Shield que leurs prédécesseurs. Par ailleurs, les États-Unis n’ont apporté aucune modification à leur législation ou à leurs pratiques qui serait de nature à remettre en question le fondement juridique du Privacy Shield. De plus, Wilbur Ross, Secrétaire au Commerce (Commerce Secretary), et Maureen Ohlhausen, Présidente de la FTC (Acting FTC Chairman), ont soutenu publiquement le mécanisme du Privacy Shield.
- Bien que le Privacy Shield porte principalement sur le transfert de données entre entreprises privées, un élément central de l’accord, du point de vue de l’Union européenne, est l’accès éventuel aux données à caractère personnel par les autorités américaines compétentes en matière de sécurité nationale et d’application de la loi, une fois lesdites données transférées aux États-Unis. Les questions relatives à la sécurité nationale et au respect de la loi tiendront une place importante lors de la révision annuelle du Privacy Shield. Malgré les réserves qui ont été soulevées, un certain nombre d’éléments positifs peuvent être observés. Premièrement, la nomination par l’Administration Trump de Judith Garber au poste de médiateur du Privacy Shield : du fait d’une longue expérience professionnelle en Europe, cette désignation fut très bien accueillie au sein de l’Union européenne. Deuxièmement, l’annonce par la NSA, dans une déclaration publique, qu’elle mettrait un terme à certaines de ses activités de surveillance à l’étranger. Enfin, même si une disposition de l’Ordonnance relative au Privacy Act de 1974 avait dans un premier temps semé la confusion au sein de l’Union européenne, il est rapidement apparu que ce texte ne constituait pas un fondement juridique du Privacy Shield et n’avait aucune influence sur son fonctionnement.
Le réexamen annuel du Privacy Shield devra donc être suivi avec une particulière attention en espérant qu’il puisse toujours, sous une forme similaire, servir de base légale de transfert des données à caractère personnel vers les États-Unis dès lors que les 2000 entreprises qui ont déjà souscrit aux principes qui encadrent le Privacy Shield ont besoin d’un cadre réglementaire transatlantique durable et agréé par les autorités de protection des données et de la vie privée Européenne. Sans ce cadre et le maintien de cette stabilité juridique, la circulation des données entre les États-Unis et l’Europe se trouverait dans une insécurité juridique délétère pour l’économie des entreprises de l’Union européenne et leurs consommateurs.