Camille Gruhier
Les transferts vers les USA bientôt encadrés
Le futur accord sur le transfert des données personnelles des consommateurs européens vers les États-Unis, baptisé « Privacy Shield » (« bouclier vie privée »), prend forme. La Commission européenne vient de publier le projet de texte, se félicitant d’importantes concessions de la part des Américains. L’accord exclut notamment la surveillance de masse des consommateurs et prévoit l’instauration d’un médiateur pour les plaintes. Les autorités nationales de protection des données personnelles et les États membres de l’Union doivent encore examiner le texte, a priori avant le mois d’avril.
Mise à jour du 12 juillet 2016
La Commission européenne a adopté aujourd’hui la décision relative au bouclier de protection des données (Privacy Shield). Elle estime en effet que ce nouveau cadre protège les droits fondamentaux de tout citoyen européen dont les données personnelles sont transférées aux États-Unis. Certains éléments permettent d’émettre des réserves. L’UFC-Que Choisir se donne le temps d’analyser le texte en profondeur et en cas de garanties insuffisantes, ne manquera pas d’engager toute action propre à faire respecter les droits des consommateurs.
En octobre dernier, la Cour de justice de l’Union européenne (CJUE) invalidait le « Safe Harbor », cet accord qui légalisait jusqu’alors le transfert de données personnelles de citoyens européens vers les États-Unis. Depuis, Européens et Américains travaillent à l’élaboration d’un nouvel accord, baptisé « Privacy Shield », ou « bouclier vie privée ». Objectif : garantir aux Européens que leurs données personnelles bénéficient d’un niveau de protection équivalent à celui de l’Europe une fois qu’elles ont franchi l’océan Atlantique. Concrètement, les données concernées sont nombreuses : vos achats, les messages publiés sur les réseaux sociaux, votre navigation sur Internet ou bien les mots saisis dans les moteurs de recherche sont autant d’informations au cœur de l’activité de nombreuses entreprises américaines comme Amazon, Facebook, Google, Microsoft et des milliers d’autres (lire aussi encadré). Assurer leur sécurité est crucial, d’autant qu’Europe et États-Unis ont une vision radicalement différente de la protection des données personnelles des citoyens. Début février, les deux camps annonçaient néanmoins être parvenus à un accord dont Bruxelles vient de publier les détails. Les États membres de l’UE et les autorités de protection des données – la Cnil (1) et ses homologues – vont maintenant l’examiner, éventuellement le modifier, avant qu’il ne soit définitivement adopté.
Fin de la surveillance généralisée ?
En l’état, le Privacy Shield renforce les règles de sécurité liées au traitement des données à caractère personnel. Le Département américain du commerce, la Federal Trade Commission (FTC) veillera à ce que les entreprises qui adhèrent au programme respectent leurs engagements. La Commission européenne explique par ailleurs que « les États-Unis ont exclu qu’une surveillance de masse soit exercée sur les données à caractère personnel transférées ». L’accès à ces données, même lorsqu’il est question d’ordre public et de sécurité, sera limité et contrôlé. Les États-Unis s’accordent néanmoins le droit de « collecter en vrac » dans six cas laissés à leur libre arbitre : la lutte contre certaines activités des puissances étrangères, contre le terrorisme, contre la prolifération nucléaire, la cybersécurité, la détection de menaces visant les US ou ses forces alliées, et la lutte contre les menaces criminelles transnationales.
Un médiateur pour gérer les plaintes
Parmi les autres nouveautés, le Privacy Shield offre aux citoyens plusieurs voies de recours s’ils estiment que leurs données ont fait l’objet d’un traitement abusif. D’abord, « les entreprises devront répondre aux plaintes dans des délais définis », explique la Commission européenne, sans plus de précisions. Ensuite, les Cnil pourront transmettre les plaintes reçues aux autorités américaines (ministère du Commerce et FTC). Enfin, les États-Unis ont nommé un médiateur chargé de recueillir les plaintes. Mais cette fois encore, les citoyens ne s’adresseront pas directement à lui, les autorités de protection des données serviront d’intermédiaires.
Pour contrôler le fonctionnement de l’accord, la Commission européenne et la FTC le réexamineront tous les ans avec l’aide d’experts du renseignement européens et américains.
Décryptage : le transfert de données personnelles hors de l’UE
Quel cadre légal ?
En principe, les transferts de données à caractère personnel hors du territoire de l’Union européenne sont interdits, à moins que le pays destinataire n’assure un niveau de protection suffisant. C’est par exemple le cas de l’Argentine, du Canada ou de la Suisse. Les autres doivent s’engager à relever le niveau de protection de manière contractuelle en signant des « clauses contractuelles types » ou en adoptant un code de conduite formalisé par des « règles internes d’entreprise » validées par l’UE. Les entreprises américaines bénéficient d’un cadre particulier, le Privacy Shield (qui succédera au Safe Harbor).
De quelles données parle-t-on ?
Amazon, Facebook, Google et les autres entreprises dont l’activité repose sur l’analyse de données personnelles (à des fins publicitaires, notamment) scrutent nos habitudes de consommation, nos interactions sociales, nos comportements sur Internet. Mais le cadre des données personnelles va bien au-delà et des entreprises de domaines d’activité très variés sont amenées à les sortir d’Europe. C’est par exemple le cas de n’importe quelle entreprise qui souhaite sous-traiter au Maroc la gestion des relances téléphoniques à ses clients ou bien du transfert à la maison mère japonaise de CV et de lettres de motivation de candidats à un emploi dans une filiale européenne.
(1) Commission nationale de l’informatique et des libertés.