Mise à jour du 11 juillet 2016 : Le vendredi 8 juillet, les États membres ont approuvé la décision d’adéquation et ont ainsi ouvert la voie à l’adoption du Privacy Shield par la Commission européenne qui doit avoir lieu mardi 12 juillet. La Quadrature du Net ne peut que déplorer cette précipitation qui a forcé les États membres à analyser et à adopter le texte en seulement une semaine et ce alors même que les CNIL européeennes ne se réuniront que le 25 juillet pour évaluer si leurs attentes et leurs réserves ont été prises en compte.
Paris, le 8 juillet 2016 — Aujourd’hui, 8 juillet 2016, les États membres de l’Union européenne, réunis dans ce qu’on appelle le « comité de l’article 31 », devront se prononcer sur l’adoption de la décision d’adéquation qui encadrera les échanges de données personnelles entre les États-Unis et l’Union européenne : le Privacy Shield. Cette décision, adoptée dans la plus grande précipitation, ne répond pas aux inquiétudes exprimées ces dernières semaines à tour de rôle par le groupe des CNIL européennes, le Parlement européen et différents gouvernements européens, ainsi que par les associations de défense des droits.
Le 6 octobre 2015 la Cour de justice de l’Union européenne avait annulé l’accord du « Safe Harbor » couvrant les transferts de données depuis 2000, estimant que celui-ci permettait une collecte massive des données et une surveillance généralisée sans offrir de voies de recours effectives aux États-Unis pour les individus concernés en Europe. Aujourd’hui, force est de constater que le Privacy Shield ne répond pas non plus aux exigences de la Cour de justice.
Sur les principes de respect de la vie privée qui incombent aux entreprises couvertes par le Privacy Shield, on peut s’interroger sur l’utilité même d’une telle décision dans la mesure où celle-ci ne se substituera pas aux alternatives moins contraignantes et actuellement en vigueur que sont par exemple les clauses contractuelles types ou les règles internes d’entreprises, mais qu’elle s’y ajoutera. Cela signifie que si une entreprise couverte par le Privacy Shield s’en fait exclure pour non-respect des obligations qui lui incombent en matière de vie privée, elle pourra continuer à traiter des données avec par exemple les deux mécanismes internes précédemment cités.
Mais le cœur de la décision se retrouve plutôt dans le chapitre sur l’accès aux données par les autorités publiques des États-Unis. Dans le texte, il n’est pas question de « surveillance de masse » mais plutôt de « collecte massive ». Or, si les États-Unis ne considèrent pas la collecte de masse comme de la surveillance, l’Union européenne, elle, par l’intermédiaire de sa Cour de justice, a tranché sur cette question en considérant, dans l’affaire C-362/14 Schrems c. Data Protection Commissioner, que la collecte massive effectuée par l’administration des États-Unis était de la surveillance de masse, contraire à la Charte des droits fondamentaux de l’Union européenne. Cette décision avait mené à l’invalidation du « Safe Harbor », et tout porte à croire que les voeux pieux et les faibles garanties d’amélioration exprimées par le gouvernement américain ne suffiront pas à rendre la décision du Privacy Shield adéquate avec la jurisprudence européenne.
Il en va de même sur la question des possibilités de recours. L’une des exigences de la CJUE, des CNIL européennes, du contrôleur des données personnelles et de la société civile était que toute personne concernée par un traitement de données avec cet État tiers puisse avoir la possibilité de déposer une plainte et de contester un traitement ou une surveillance illégale. Pour pallier cette sérieuse lacune du Safe Harbor, un mécanisme de médiateur (« Ombudsperson ») a été instauré. L’initiative aurait été bonne si ce médiateur était réellement indépendant. Mais d’une part il est nommé par le Secrétaire d’État, d’autre part les requérants ne peuvent s’adresser directement à lui et devront passer par deux strates d’autorités, nationale puis européenne. L’Ombudsperson pourra simplement répondre à la personne plaignante qu’il a procédé aux vérifications, et pourra veiller à ce qu’une surveillance injustifiée cesse, mais le plaignant n’aura pas de regard sur la réalité de la surveillance. Cette procédure ressemble à celle mise en place en France par la loi Renseignement avec la CNCTR et, pour les mêmes raisons, ne présente pas suffisamment de garanties de recours pour les citoyens.
Le projet de Privacy Shield, préparé et imposé dans la précipitation par la Commission européenne et le département du Commerce américain, ne présente pas les garanties suffisantes pour la protection de la vie privée des Européens. Il passe sciemment à côté du cœur de l’arrêt de la CJUE invalidant le Safe Harbor : la surveillance massive exercée via les collectes de données des utilisateurs. Les gouvernements européens et les autorités de protection des données doivent donc absolument refuser cet accord, et travailler à une réglementation qui protège réellement les droits fondamentaux. Les nécessités d’accord juridique pour les entreprises ayant fait de l’exploitation des données personnelles leur modèle économique ne peuvent servir de justification à une braderie sordide de la vie privée de dizaines de millions d’internautes européens.