Paris, 16 mars 2016 — Aujourd’hui, plus d’une vingtaine d’associations citoyennes ont envoyé une lettre aux dirigeants européens concernant l’accord de transfert de données « Privacy Shield » avec un message unique : cet accord ne suffit pas. Le « Privacy Shield » a pour objectif de permettre aux entreprises de partager des données concernant les consommateurs à travers l’Atlantique. Malheureusement, le « Privacy Shield » n’apporte pas suffisamment de clarté, de contrôle, de moyens de recours ou de protection des droits fondamentaux des citoyens européens contre les pratiques de surveillance américaines. La lettre appelle plus spécifiquement à une réforme législative des lois de surveillance américaines, une meilleure protection des données personnelles, et des mécanismes de réparation des préjudices et de transparence additionnels.
« Le Privacy Shield ne guarantit pas une protection adéquate pour les données personnelles européennes telle que requise par la loi et la Cour de justice de l’Union européenne, » déclare Estelle Massé, analyste politique pour Access Now. Elle ajoute : « et comme si cela ne suffisait pas, cet accord n’établit pas de mécanisme suffisant pour que les citoyens européens puissent déposer un recours contre les pratiques américaines. Nous devons nous remettre à la table des négociations. »
Le « Privacy Shield », annoncé début février et publié le mois suivant, est un accord entre l’Union européenne et les États-Unis dont le but est de permettre aux entreprises de transmettre aux États-Unis des données concernant des citoyens européens. En application du droit européen, les entreprises sont seulement autorisées à transférer des données à un pays qui garantit un niveau de protection des données adéquat. Le « Privacy Shield » est supposé fournir les règles pour cette protection.
Le « Privacy Shield » remplace l’accord « Safe Harbor », qui a été invalidé par la Cour de justice de l’Union européenne (CJUE) à la fin de l’année dernière. Le « Safe Harbor » a été considérablement critiqué pour son système d’auto-certification, son manque de transparence et de supervision, et sa protection insuffisante de la vie privée. La CJUE a également démontré que le « Safe Harbor » était particulièrement inapte à protéger les données contre un accès gouvernemental disproportionné. La CJUE a expliqué qu’une protection adéquate, telle que requise par la loi européenne, nécessite un degré de protection essentiellement équivalent à celui fourni en Europe.
Le « Privacy Shield » doit être approuvé par la Commission européenne sous la supervision des États-Membres qui sont tenus de rendre une décision contraignante lors de leur réunion au sein du comité de l’Article 31, qui rassemble les 28 États-Membres ainsi que la Commission européenne. Les décisions non-contraignantes ainsi que les commentaires des autorités nationales de protection des données (la CNIL en France), réunies sous la houlette du groupe de travail article 29 (G29), doivent aussi être prises en compte.
La lettre (en anglais) des associations de la société civile appelle le groupe de travail de l’article 29, le Parlement européen, et le comité de l’article 31 à rejeter le « Privacy Shield » et le renvoyer aux États-Unis et à la Commission européenne pour de nouvelles négociations.
« Les négociateurs du « Privacy Shield » ont véritablement failli à leur mission de protéger les droits fondamentaux des Européens face à la surveillance exercée par les États-Unis. Si nous voulons que cet accord offre les garanties de sécurité dont les utilisateurs et les entreprises ont besoin pour les transferts de données transatlantiques, le droit américain devra être réformé » a déclaré Amie Stepanovich, responsable politique pour les États-Unis chez Access Now.
Pour Danny O’Brien, directeur de l’Electronic Frontier Foundation : « La vie privée des citoyens européens ne peut être protégée de façon adéquate sans réformer en profondeur la surveillance disproportionnée exercée par les États-Unis sur des individus non-américains. »
« EPIC demande instamment aux États-Unis comme à l’Union européenne de renforcer la protection des données. Les négociateurs du « Privacy Shield » devraient reprendre les négociations depuis le début et mettre en place un cadre offrant une protection réelle pour le flux des données transatlantiques », a déclaré Fanny Hidvegi, chargée de recherche en Droit International à EPIC.
« Les États-Unis sont incapables de répondre à la façon dont leur propre secteur numérique ne cesse de collecter une quantité toujours plus importante de données sur les consommateurs. Tant que les États-Unis n’adopteront pas une loi protégeant la vie privée, personne ne sera en sécurité, qu’on vive en Europe ou en Amérique », a affirmé Jeff Chester, directeur exécutif au Center for Digital Democracy.
« Les informations personnelles les plus sensibles sont, sans hésitation, les données sur la santé de nos esprits et de nos corps. Si nous ne pouvons protéger nos données les plus sensibles, quel espoir demeure-t-il de pouvoir protéger les autres catégories d’informations personnelles ? » interroge Dr. Deborah Peel, fondatrice de Patient Privacy Right.