Données personnelles : accord de principe entre l’Europe et les États-Unis sur le Safe Harbor 2

La commissaire européenne à la justice a annoncé hier que l’Europe et les États-Unis étaient parvenus à un accord de principe sur le remaniement du Safe Harbor, cet accord de 2000 qui permet aux géants du Net américains d'aspirer les données personnelles des Européens. Seulement, des questions techniques restent en souffrance.

Le 6 octobre dernier, la Cour de justice de l’Union européenne décapitait ce mécanisme juridique qui permettait jusqu’alors à des milliers d’entreprises américaines de traiter dans leurs datacenters les données personnelles européennes.

En substance, la CJUE reproche à ce label de sécurité reconnu en 2000 par la Commission européenne d’avoir quelque peu malmené les droits des citoyens relevant du vieux continent. Particulièrement, à la lumière des révélations Snowden, la Cour estime qu’« une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée ». Or, en face, les Européens ne disposent d’aucun droit au recours aux États-Unis. Dans le même temps, la CJUE a demandé aux autorités de contrôle - les CNIL européennes – de revenir au premier plan pour ausculter si besoin est, les transferts entre les États européens et nos partenaires américains.

La montée en puissance des CNIL européennes

Mi-octobre, le groupe de l’article 29 (dit G29, en fait l’ensemble des CNIL européennes) a très logiquement demandé « aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016 ». Et les CNIL d’inviter la Commission et les États-Unis à trouver au plus vite des solutions « permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux ». Sinon ? Elles menacent les acteurs américains concernés d’une pluie d’ « actions répressives coordonnées ».

Aux négociateurs, le G29 a donné de multiples recommandations : « ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes ».

Un accord de principe, mais de nombreuses questions en souffrance

Hier, devant la Commission des libertés au Parlement européen, Věra Jourová a donné des détails sur les suites de l’invalidation du Safe Harbor. La commissaire à la justice a indiqué qu’un accord sur les questions de principe avait été trouvé avec les autorités américaines, cependant « nous discutons toujours de la façon de veiller à ce que ces engagements soient suffisamment contraignants pour répondre pleinement aux exigences de la Cour ».

L’UE est ainsi en quête d’un niveau de protection qui soit non identique, mais équivalent à celui en vigueur dans sa juridiction. « C’est ce que je recherche dans nos discussions avec les États-Unis » a indiqué la commissaire européenne. Elle fait par exemple état des promesses américaines du département du commerce d’une plus forte collaboration avec les autorités de contrôle et d'un traitement privilégié des plaintes par la Federal Trade Commission. Věra Jourová croit que ces coopérations vont transformer le système d’autorégulation jusqu’alors en vigueur en un système de surveillance plus musclé.

Un mécanisme de révision annuel dans le Safe Harbor 2.0

En réponse à la Cour qui réclame une mise à jour périodique du contrôle de ces opérations, la même commissaire relève qu’elle travaille avec les États-Unis sur la mise en place d’un mécanisme de révision annuel. Cet examen auscultera tous les aspects des échanges, « y compris les exemptions liées aux dispositions législatives ou aux motifs de sécurité nationale ». Elle promet de « veiller qu’il y a suffisamment de limitations et de garanties en place afin de prévenir l’accès ou l’utilisation de donnée personnelle sur une base généralisée, et pour s’assurer qu’il y a un contrôle judiciaire sur ces activités ». Saluant d’une main l’USA Freedom Act, adopté par les États-Unis après les révélations Snowden, la commissaire admet que les services européens sont toujours dans un processus d’évaluation des garanties affichées par ce texte.

Elle applaudit en tout cas le Bill On Judicial Redress, projet de loi déjà approuvé par les représentants et bientôt débattu au Sénat, qui devrait étendre la protection judiciaire des citoyens Américains aux Européens. Bien entendu, les dispositions finales seront auscultées avec attention pour déterminer leur compatibilité exemplaire avec la décision Schrems, voire avec le futur règlement sur les données personnelles (notre dossier).