Alors que le Privacy Shield subit le feu des critiques européennes, des représentants de l'Union et des États-Unis ont signé un accord sur le partage de données personnelles entre autorités. Le texte doit toujours être validé par les eurodéputés, dont certains affichent clairement leur scepticisme.

Une main dit oui, l'autre risque de dire non. Hier, la Commission européenne a annoncé la signature d'un accord entre des représentants européens et américains sur l'envoi de données personnelles entre forces de police. Il s'agit d'Ard van der Steur, ministre hollandais de la Sécurité et de la Justice, de la procureure générale des États-Unis, Loretta E. Lynch, et du vice-secrétaire à la Sécurité nationale américaine, Alejandro Mayorkas.

Cet accord-cadre (« Umbrella agreement ») couvre la transmission de données personnelles par les autorités européennes aux autorités américaines. Cela en offrant plus de garanties que l'accord précédent, du moins selon ses signataires.

« L'accord fixe de hauts standards pour la protection des données personnelles par les autorités. Il renforce également la sécurité juridique et améliore les droits des citoyens, alors qu'il facilitera la coopération entre Union européenne et États-Unis pour combattre le crime, y compris le terrorisme » vante la Commission dans son communiqué. Rien de moins.

Des garanties... à garantir

En principe, l'accord doit permettre aux citoyens européens de s'adresser à la justice américaine sur l'utilisation de ses données, en bénéficiant des mêmes droits que les Américains eux-mêmes... Il doit aussi garantir le niveau de protection des données dont bénéficient les Européens au sein de l'Union. Un vaste programme, dont certaines cases ne seraient pas vraiment cochées.

Selon l'association de défense des libertés numériques Access Now, cet accord a trop de limites pour être acceptable, malgré l'accord de la Commission européenne et du Conseil de l'Europe à son sujet. En fait, l'accord était prêt à être signé par l'UE et les États-Unis en septembre, à une condition que les Européens puissent déposer des recours devant la justice américaine en cas de contentieux.

Une demande suivie par les États-Unis en février, via une loi spécifique, qui ne convient pas à Access Now. « Cette loi américaine a tant d'exception qu'elle est inefficace » estime l'association, qui rappelle que les USA peuvent décider à tout moment de supprimer cette protection pour les citoyens d'un pays particulier. La loi serait également inefficace en cas de recours contre la surveillance par les services de renseignement.

La balle dans le camp du Parlement européen

« La prochaine étape sera d'obtenir l'aval du Parlement européen » note la Commission dans son communiqué. Le Parlement a un droit de veto sur le texte, relançant ainsi les allers retours entre institutions européennes. Jusqu'ici, celui-ci s'est montré assez sceptique sur la question. Dans une analyse datée de janvier, les services légaux du Parlement relèvent ainsi que l'accord a priorité sur le droit européen. Une question qui n'a pas été réglée depuis.

À Ars Technica, l'eurodéputée Sophie in ’t Veld affirme que, si des exceptions à la protection des données peuvent être supprimées, elle doute qu'elles le seront dans les faits. Il reste donc à voir quelle sera la position de ses collègues de la commission des libertés (LIBE) et en séance plénière.

Globalement, les eurodéputés sont très sensibles sur ces questions. Les débats autour du Privacy Shield, le successeur du Safe Harbor qui doit garantir la protection des données européennes aux États-Unis, ont été plus qu'animés. Alors que la Commission donne aisément son aval au texte, les eurodéputés ont regretté la faiblesse des recours possibles des Européens aux États-Unis... Le même exact reproche fait à l'accord-cadre du jour. Ce scepticisme sur le Privacy SHield est d'ailleurs partagé par les CNIL européennes, qui pointent l'incohérence du texte proposé par les négociateurs.