Transfert de données personnelles de l’UE vers les Etats-Unis : du « Safe Harbor » à l’ « EU-US Privacy Shield », réel épilogue ou simple péripétie ?

Le « Safe Harbor » est mort, vive le nouvel « EU-US Privacy Shield » ! L’optimisme affiché par la Commission européenne (SPEECH/16/221) suite à la conclusion d’un nouvel accord censé remplacer le défunt Safe Harbor invalidé par la Cour de justice de l’Union européenne dans la désormais célèbre affaire Schrems (évoquée ici-même), laisse perplexe.

Il est certes louable que l’accord intervienne à l’expiration de la date limite fixée par les autorités nationales de protection des données il y a trois mois, après l’arrêt de la Cour de justice, et mette ainsi fin à l’insécurité juridique dans laquelle des milliers d’entreprises se trouvaient pour effectuer des transferts de données vers les Etats-Unis. Mais confondant sans doute vitesse et précipitation – afin de rassurer les opérateurs économiques – la Commission présente un accord en trompe-l’œil qui, l’encre à peine sèche, suscite déjà nombre d’interrogations et de critiques.

Le Safe Harbor, on s’en souvient, avait subi, par le biais de la « décision d’adéquation » de la Commission autorisant le transfert de données personnelles vers les Etats-Unis, les foudres de la Cour de justice, au motif qu’un « niveau adéquat de protection » n’était justement pas garanti pour les données transférées, de par l’existence d’une surveillance de masse opérée par la NSA pour des raisons de sécurité nationale, sans qu’aucune information ou voie de recours ne soit assurée aux citoyens européens.

Qu’en est-il du nouveau texte, pour lequel la commissaire européenne à la Justice, Mme Jourova, affirme avoir « travaillé jour et nuit ces derniers mois » dans de « difficiles » négociations avec son homologue américaine, Mme Penny Pritzker, secrétaire d’Etat au commerce ?

Il est d’abord loisible de se demander si la déclaration de la Commission selon laquelle les Etats-Unis devraient fournir des assurances écrites, en particulier de la part du directeur du renseignement américain (voir SPEECH/16/221 déjà cité), aux termes desquelles une surveillance de masse ne serait plus exercée sur les données à caractère personnel transférées vers les Etats-Unis, relève de la sincérité ou de la naïveté…

Dans une conférence de presse du 3 février, le Groupe de l’article 29 (Autorité européenne de protection des données regroupant les représentants des autorités nationales en la matière) réserve tout d’abord prudemment son jugement sur le nouvel accord, en attendant de disposer des documents écrits, puis pose quatre critères à respecter par les services de renseignement américains : le traitement des données doit suivre des règles claires, précises et accessibles, il doit être nécessaire et proportionné, un mécanisme indépendant de supervision doit être mis en place, les individus doivent disposer de voies de recours.

Si les Etats-Unis ont garanti par écrit que l’accès aux données par des autorités publiques américaines à des fins d’ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties bien définies, et que cet accès sera limité au nécessaire et proportionné, force est de constater néanmoins, d’abord que ces « garanties » restent à préciser, puisque le texte de l’accord n’a pas encore été rendu public, et ensuite que n’est même pas exclu un accès aux données en principe « ciblé » mais qui pourrait être plus large que prévu pour des raisons impérieuses d’intérêt général ou de sécurité publique (voir Bulletin quotidien EUROPE, n° 11481, 3/02/2016)…

Quant aux mécanismes de supervision, il est prévu tout d’abord une évaluation annuelle conjointe entre la Commission et le Département du Commerce américain, à laquelle seront invités à participer des experts du renseignement américains et les autorités européennes de protection des données. Ce mécanisme, qui a le mérite d’exister, n’offre cependant que des garanties politiques de discussion et de réexamen. Est prévue par ailleurs la création d’un « Ombudsman », « indépendant des services de renseignement américains » (voir SPEECH/16/221), précision qui porte à sourire par son évidence…Sa nomination par le département d’Etat laisse subsister toutefois des doutes sur sa réelle indépendance, selon les critères européens, rappelés maintes fois par la Cour de justice…

Diverses possibilités de recours seraient, certes, offertes aux ressortissants européens, ce qui semble a priori un progrès.

Ils seraient en mesure en premier lieu d’adresser leurs plaintes directement aux sociétés, qui auraient une date limite pour y répondre. Les autorités européennes de protection des données, saisies par les citoyens, pourraient en deuxième lieu adresser elles-mêmes leurs réclamations auprès du département du commerce américain et de la Commission Fédérale du Commerce (Federal Trade Commission, agence gouvernementale indépendante chargée de l’application du droit de la consommation). Il existerait enfin un « mécanisme de résolution alternatif » qui serait gratuit (voir IP/16/2016). Mais il faut bien souligner qu’il s’agit là d’un mécanisme d’arbitrage, donc par définition extra-judiciaire…Les améliorations restent donc plutôt minces au total.

Il est à craindre en outre que le progrès essentiel qui était attendu en la matière, par le biais du « Judicial Redress Act », censé accorder aux européens le droit de recours devant les tribunaux américains, ne soit aujourd’hui remis en question – et il faut le déplorer – par un amendement que lui a apporté une commission du Sénat américain. Il est permis de penser que la proximité de l’élection présidentielle américaine ne favorisera pas l’adoption de ce projet…La perspective d’un véritable droit de recours judiciaire ouvert aux citoyens européens semble donc s’éloigner.

Nulle surprise au total si de multiples lances viennent se briser sur ce « bouclier » qui semble davantage assurer la protection des intérêts américains que ceux de la vie privée des citoyens européens….

Le président de la commission des libertés civiles (LIBE) du Parlement européen, M. Claude Moraes, a ainsi déploré l’absence de texte écrit pour le nouveau cadre annoncé, qui repose pour l’essentiel sur des déclarations des autorités américaines mais ne précise pas les mesures juridiques contraignantes en la matière, les lois américaines n’étant soumises à aucune modification. Mme Viviane Reding, ex-commissaire européenne en charge du dossier, s’inquiète pour sa part aujourd’hui en sa qualité d’eurodéputée (PPE, et en se démarquant de son propre groupe politique) des prérogatives dont sera doté le futur Ombudsman, en l’absence de toute précision à cet égard. Bien plus, elle critique sévèrement le fait que « l’engagement des autorités américaines à limiter la surveillance de masse des citoyens européens [soit] assuré seulement par une lettre écrite » (voir Bulletin quotidien EUROPE, n° 11482, 4 février 2016).

Jan Philipp Albrecht (Verts/ALE, allemand) et Sophie in’t Veld (ADLE, néerlandaise) ont également fustigé cet échange de lettres, qui fait douter de l’existence de réelles sauvegardes. L’eurodéputée néerlandaise s’est notamment interrogée sur le point de savoir si le « Médiateur » prévu (Ombudsman) allait réellement agir face à la NSA…Partager son inquiétude n’est pas vain.

A première vue, et si les documents écrits confirment ces premières impressions (mais comment en serait-il autrement dans la mesure où les représentants de la Commission ont eux-mêmes annoncé le contenu de l’accord ?), il est permis de se demander si ce nouvel accord résisterait à un nouvel examen de la CJUE…La Commission a annoncé vouloir très vite adopter une nouvelle décision « d’adéquation » sur cette base. Il est donc aisé d’imaginer que le « EU-US Privacy Shield » ne sera qu’une nouvelle péripétie de la difficile relation transatlantique en ce qui concerne la protection des données à caractère personnel. Mais en attendant, « Show must go on », ou plutôt « Business must go on »…