2

L’impact du règlement sur le « bouclier vie privée Union européenne-États-Unis »

< Rapport d'information >

L’entrée en vigueur du règlement pose la question de son articulation avec l’accord que la Commission a conclu en février 2016 avec les États-Unis sur le cadre des transferts transatlantiques de données.

En effet, comme il a été évoqué précédemment (73), la Cour de justice a invalidé la décision n° 2000/520/CE de la Commission, qui aurait permis l’entrée en vigueur de l’accord sur la Sphère de Sécurité, qui rendait possible le transfert de données personnelles entre l’Union européenne vers des entreprises américaines, au motif que ce pays ne présentait pas des garanties suffisantes en matière de protection des données personnelles (74). À la suite de cet arrêt, la Commission a conclu en février 2016 un nouvel accord avec les États-Unis sur le cadre des transferts transatlantiques de données, le « bouclier vie privée Union européenne-États-Unis » (EU-US Privacy shield ).

Adopté par la Commission le 12 juillet 2016 (75) et entré en vigueur le 1er août 2016, ce nouvel accord vise à tenir compte des exigences énoncées par la Cour de justice. Il impose aux entreprises des obligations renforcées en termes de traitement des données et d’information des personnes concernées par les traitements de données (article 1er). Il crée une supervision plus étroite. Les personnes concernées disposent de mécanismes de recours plus étendus en cas de non-respect des principes du __ bouclier vie privée Union européenne-États-Unis. Il est prévu que le dispositif fasse l’objet d’une réévaluation annuelle pour s’assurer qu’il reste suffisamment protecteur des données transmises (article 4 de l’accord). Enfin, les entreprises destinataires des données doivent préalablement être inscrites sur un registre tenu par l’administration américaine.

La décision d’exécution de la Commission européenne intègre par anticipation, certaines des avancées prévues par le règlement, notamment concernant le rôle et les pouvoirs des autorités de contrôle, et introduit un mécanisme de vérification périodique. Cela répond à une demande forte de la France et de l’Allemagne, qui avaient appelé à une renégociation de l’accord sur la Sphère de Sécurité bien avant l’invalidation de celle-ci, afin de la mettre au niveau des exigences renforcées du règlement.

Le considérant 15 de la décision d’exécution de la Commission du 12 juillet 2016 précise que « le bouclier de protection des données ne porte pas atteinte à l’application de la législation de l’Union régissant le traitement des données à caractère personnel dans les États membres », la note de bas de page se référant explicitement au règlement européen.

À compter de l’entrée en application du règlement, cette décision suivra le régime général des décisions d’adéquation prévu par l’article 45 : elle sera notamment soumise à une révision périodique pour évaluer si le niveau de protection des données reste substantiellement équivalent à celui assuré par le droit de l’Union européenne. En pratique, la décision prévoit elle-même une procédure de révision périodique plus fréquente, puisqu’une revue conjointe doit être conduite tous les ans, en y associant les autorités de protection des données.

La pérennité du bouclier vie privée et sa conformité au règlement pourraient néanmoins être remises en cause dans les mois qui viennent.

En premier lieu, dans une déclaration du 29 juillet 2016, le G 29 a émis des réserves sur cet accord et a considéré que d’importantes préoccupations demeuraient concernant notamment l’accès par les autorités publiques américaines aux données transférées par l’Union européenne. Le G 29 ne se considère pas lié par la position de la Commission sur le niveau suffisant de protection garanti par l’accord et indique que la première évaluation annuelle conjointe de cet accord sera « un moment clé » permettant d’évaluer l’effectivité des garanties prévues par le bouclier vie privée.

Déclaration du G29 du 29 juillet 2016 relative à la décision de la Commission européenne concernant le Privacy Shield

Dans cette déclaration, le G29 rappelle que dans un avis du 13 avril 2016, il avait exprimé des inquiétudes et demandé diverses clarifications. Certaines d’entre elles ont été prises en compte par la Commission et les autorités américaines dans la version finale des documents relatifs au bouclier vie privée. Néanmoins, le G 29 considère que d’importantes préoccupations demeurent :

– en ce qui concerne le volet commercial, le G29 regrette, par exemple, le défaut de règles spécifiques pour les décisions automatisées et l’absence d’un droit d’opposition. La manière dont les principes du bouclier vie privée vont être appliqués aux sous-traitants mériterait d’être davantage explicitée ;

– en ce qui concerne l’accès par les autorités publiques aux données transférées aux États-Unis dans le cadre du bouclier vie privée, le G29 aurait souhaité des garanties plus strictes concernant l’indépendance du médiateur américain (Ombudsperson) et les pouvoirs qui lui sont accordés. Le G29 note l’engagement des services de renseignement américains à ne pas effectuer de collecte massive et indiscriminée de données personnelles. Néanmoins, il regrette le manque de garanties concrètes permettant d’éviter que de telles pratiques aient lieu.

Le G29 conclut : « la première évaluation annuelle conjointe sera donc un moment clé permettant d’évaluer la robustesse et l’effectivité des garanties prévues par le Privacy Shield. » et souhaite que la compétence des autorités de protection des données impliquées dans cette évaluation soit clairement définie. Lors de leur participation à la procédure d’évaluation, les représentants du G29 détermineront non seulement si des préoccupations demeurent mais également si les garanties proposées dans le cadre du bouclier vie privée sont effectives.

En second lieu, le président des États-Unis, M. Donald Trump vient de signer un décret ( 76 ) qui fragilise l’accord transatlantique en contredisant la politique menée sous la Présidence de Barack Obama en matière de renforcement de la protection des données personnelles.

En effet, après les révélations de M. Edward Snowden et la remise en cause de l’accord sur la Sphère de Sécurité, les États-Unis ont adopté en février 2016 une nouvelle loi relative aux recours juridictionnels _ (77), _qui étend aux citoyens de certains pays – parmi lesquels ceux de l’Union européenne – les garanties dont bénéficient les citoyens et les résidents américains en matière d’utilisation des données personnelles par les agences fédérales en application de la loi sur la protection de la vie privée ( Privacy Act) (78). Par ailleurs, le Président Barack Obama, a signé, en 2014, une directive présidentielle ( 79 ) reconnaissant à toute personne, quelle que soit sa nationalité, un « droit légitime à la vie privée » et tentant d’encadrant de manière plus stricte la collecte de données par le renseignement américain.

Ces évolutions ont contribué à ce que la Commission européenne juge adéquat le niveau de protection des données personnelles aux États-Unis et l’adoption du bouclier vie privée.

Or, le décret signé par M. Donald Trump prévoit que les dispositions de la loi sur la protection de la vie privée relatives aux données personnelles ne s’appliqueront plus à ceux « qui ne sont ni des citoyens des États-Unis ni des résidents permanents légaux ». Un décret ne pouvant supplanter une loi, la loi relative aux recours juridictionnels ( Judicial Redress Act) , qui concerne les citoyens européens, semble toujours applicable et le bouclier vie privée n’est pas directement remis en cause. Cependant, ce décret a fait naître des inquiétudes comme en témoignent les propos de la commissaire à la Justice, Mme Vera Jourová, qui a indiqué au site EUObserver qu’elle avait désormais « besoin d’être certaine que le Privacy Shield subsistera » compte tenu de la décision prise par le Président Donald Trump. ( 80 ) Le 15 février, le G29 a indiqué, dans un communiqué, qu’une lettre serait envoyée aux autorités américaines faisant état de ses inquiétudes et demandant une clarification sur l’impact du décret du président des États-Unis sur le Privacy Shield.

La Commission pourrait donc être amenée à remettre en cause cet accord, celle-ci étant compétente en application du paragraphe 5 de l’article 45 du règlement pour abroger, modifier ou suspendre la décision d’adéquation qu’elle a prise par voie d’actes d’exécution sans effet rétroactif « lorsque les informations disponibles révèlent, en particulier à l’issue de l’examen visé au paragraphe 3 du présent article, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat au sens du paragraphe 2 de l’article 45 ».

De même, la Cour de justice de l’Union européenne pourrait remettre en cause le bouclier vie privée, comme elle l’a fait pour l’accord sur la Sphère de Sécurité, plusieurs associations, parmi lesquels la Quadrature du Net , ayant déposé un recours pour contester cet accord.

< Rapport d'information >