Le retour du Privacy Shield : Le Jedi !
Vers une surveillance des Etats-Unis plus respectueuse de la vie privée : a nonsense ?
Le décret a pour objectif la mise en place de garde-fous supplémentaires par les Etats-Unis afin de permettre la mise en place du nouveau « Cadre de protection des données » entre les Etats-Unis et l’Union Européenne. Ce Cadre de protection des données apportera un nouveau fondement juridique pour les transferts EU-US, suite à l’Arrêt Schrems II du 16 juillet 2020.
En effet, les transferts de données personnelles transatlantiques avaient été remis en cause par l’invalidation du Privacy Shield, laissant les professionnels de la protection des données incertains quant aux mesures à adopter.
La licéité des activités des entreprises américaines sur le vieux continent a même été discutée, notamment par la décision de la CNIL du 10 février dernier jugeant l’utilisation de Google Analytics illégale.
Les mesures évoquées dans le décret concernent dans un premier temps les pratiques de surveillance des Etats-Unis qui seront adaptées afin d’être plus respectueuses de la vie privée :
Les activités de surveillance ne devront être réalisées qu’en vue de la réalisation d’objectifs nécessaires et définis en matière de sécurité nationale, de manière proportionnelle à la réalisation desdits objectifs, tout en prenant en considération la confidentialité et les droits fondamentaux des personnes ;
Renforcement du champ d’action des responsables des secteurs juridiques, de la conformité et de la surveillance afin qu’ils puissent prendre les mesures nécessaires afin de remédier aux incidents de non-conformité ;
Obligation pour les parties prenantes du renseignement des États-Unis de mettre à jour leurs procédures et politiques afin d’y intégrer les nouvelles mesures contenues dans le décret.
Dans un second temps, le décret annonce la création d’un mécanisme permettant aux personnes physiques d’effectuer un recours dans le cas où leurs données personnelles auraient été traitées par les renseignements américains en violation de la loi applicable et/ou en violation du décret ici discuté.
Les plaintes ainsi reçues seraient dans un premier temps examinées par le Délégué à la protection des libertés civiles, puis révisées par la Cour de Révision de la Protection des Données (Data Protection Review Court : DPRC) dont la création est annoncée par le décret.
Alors, tout le monde y croit ? Pas sûr…
Se pose alors la question de la validité de ces mesures face aux arrêts de la Cour de Justice de l’Union Européenne. L’ONG NOYB portée par Max Schrems à l’origine de l’invalidation du Privacy Shield, mais également de son ancêtre le Safe Harbour a déjà émis des objections aux mesures prises par le gouvernement américain. Selon elle, le décret a « peu de chances de satisfaire au droit européen ». L'association conteste l’aspect proportionnel évoqué au regard de la surveillance américaine : l’interprétation américaine et européenne diffèrent sur ce point.
La qualité de la nouvelle autorité américaine de protection des données, la DPRC, est également remise en cause. Cette dernière est considérée comme une simple « version améliorée du système de « médiateur », qui a déjà été rejeté par la CJUE » ne correspondant pas aux exigences de la Charte de l’UE prévoyant le droit à un recours effectif et l’accès à un tribunal impartial.
Les mesures annoncées ont pour objectif l’obtention d’une décision d’adéquation de la Commission Européenne. Cette dernière, dans l’hypothèse ou les démarches ne seraient pas ralenties par les contestations de diverses organisations telles que le CEPD ou les autorités compétentes européennes, ne devrait pas être officialisée avant plusieurs mois.
En conclusion, les mesures prises par les Etats-Unis ne semblent pas correspondre aux exigences de l’article 45 du RGPD permettant d’obtenir la tant convoitée décision d’adéquation.
Le décret laisse l’impression de décisions hâtives prises afin de combler le creux que représente la protection de la vie privée aux Etats-Unis.
Alors, est-ce que la Commission européenne jugera ce texte suffisant ? Si oui, pour combien de temps ce mécanisme pourrait vivre dans l’atmosphère de souveraineté numérique tant recherchée par l’Union Européenne ? Ce nouveau texte sera-t-il à la hauteur des exigences des défenseurs du droit à la vie privée ?
Oh my god, too many questions !