En dernière ligne droite, la Commission européenne et les États-Unis sont parvenus à un accord pour remplacer le Safe Harbor. Cependant, suscitant déjà des critiques, le plan de sauvetage des flux de données n’a toujours pas été communiqué ni donc ausculté par les CNIL européennes.

Le groupe de l’article 29, où se retrouve l’ensemble des autorités de contrôle (la CNIL en France), avait laissé jusqu’à fin janvier à la Commission européenne et aux autorités américaines pour gérer l’après Safe Harbor. Hier, en fin de journée, soulagement : Bruxelles a pu annoncer fièrement le Privacy Shield, une série d’engagements pour gérer l’invalidation de ce mécanisme juridique par la Cour européenne de Justice de l’Union européenne le 6 octobre dernier.

Ce Safe Harbor relevait d'une décision de Bruxelles qui, depuis 2000, permettait aux entreprises d’importer outre-Atlantique les données personnelles des Européens. Cependant, les révélations Snowden ont obstrué la beauté de ce pipeline, montrant que la NSA disposait d’un accès open bar sur ces flux, sans l’ombre d’un droit au recours pour les principaux concernés. Un régime bien trop éloigné des garanties apportées par le droit européen, au goût de la CJUE.

Le Privacy Shield, où comment boucler un bouclier

De quoi est fait ce bouclier ? De papier ou de fonte ? Pour l’instant, difficile à dire ! Seul est disponible le résumé des lettres d’intention adressées depuis les deux bords de l’Atlantique. Pas leur contenu.

En toute liberté, le communiqué de Bruxelles dresse donc un bilan flatteur, signalant l’obligation future pour les entreprises de prévoir des garanties robustes sur la façon dont seront traités les flux importés aux États-Unis. Sous l’égide du Département du Commerce, les engagements de chaque entreprise seront rendus publics afin de les rendre exécutoires. En outre, ces mêmes acteurs devront respecter les décisions prises par les autorités de contrôle des données personnelles (la CNIL en France).

De l’aveu de Bruxelles, ces lettres d’engagement prévoient aussi « des garanties claires et des obligations de transparence concernant l'accès du gouvernement des États-Unis » sur ces données. L’exécutif américain a donné son assurance écrite pour des limites, garanties et mécanismes de contrôle clairs dans ses accès. Il a exclu également tout recours à la surveillance de masse, juré, craché !

Enfin, les citoyens disposeront d’un droit au recours s’ils estiment que leurs données ont été bafouées. Ces plaintes passeront par les CNIL européennes, qui pourront ensuite les transmettre au Département du Commerce et à la Federal Trade Commission. La résolution des litiges extrajudiciaires sera en outre gratuite, le tout étant chapeauté par l’instauration d’un médiateur dédié. S’ajouteront alors des contrôles réguliers menés par les autorités…

Des engagements sans assise juridique

Seul souci, ces engagements qui restent secrets n’ont aucune valeur juridique. Du coup, de Maximilian Schrems, celui à l’initiative de l’arrêt de la CJUE, à Edward Snowden, les critiques ont été vives contre ce Privacy Shield.

En Commission des libertés civiles, de la justice et des affaires intérieures, l’eurodéputé Claude Moraes a lui aussi fait part de ses préoccupations. Le président de la commission « Libé » a beau lire et relire : il ne voit aucune disposition contraignante pour la Commission européenne et les États-Unis. Tout ne repose que sur une déclaration de ces derniers quant à son interprétation de la surveillance de masse. Surtout, l’élu du Parlement européen rappelle que « sans support juridique plus solide, les propositions annoncées pourraient à nouveau être remises en cause par la Cour européenne de justice de l’Union ».

Les CNIL européennes dans le brouillard

Lors d’une conférence de presse organisée aujourd’hui, Isabelle Falque-Pierrotin, présidente de la CNIL a salué le respect du calendrier fixé par les autorités de contrôle, un joli gage que le terme imposé en octobre dernier a été entendu par Bruxelles.

Cependant, elle s’est révélée incapable de dire quoi que ce soit d’autre sur le Privacy Shield, puisque le G29, dont elle assure également la présidence, n’a pas reçu formellement le contenu de ces lettres. Et pour cause, la transmission est prévue d'ici la fin février.

Elle s’est donc contentée de rappeler les exigences émises par le G29, à savoir des traitements proportionnels, la mise en place de mécanismes pour contrôler la façon dont la NSA accède aux données, la possibilité d’un recours, etc. L’avènement du Privacy Shield est un nouveau fait qui bouleverse le calendrier. Les CNIL européennes, qui n’ont pas participé aux négociations préalables, vont donc devoir maintenant ausculter de près ce qui se cache derrière ce bouclier, avant de rendre publiques leurs analyses d’ici mars ou avril.

Leurs conclusions devraient au final impacter l’ensemble des voies alternatives au Safe Harbor, à savoir principalement les accords d’entreprises (BCR) et les clauses contractuelles types qui restent pour l’heure praticables, malgré les gros doutes sur leur légalité. Une chose est sûre : « aujourd’hui, l’usage du Safe Harbor est illégal », et donc susceptible de plainte dans n’importe quel État membre, selon Isabelle Falque-Pierrotin.