Suite à l’invalidation du « Safe Harbor » en octobre dernier par la Cour de justice de l’Union européenne, la Commission européenne vient de publier le projet d’accord « Privacy Shield » sur le transfert des données personnelles des consommateurs européens vers les États-Unis.
Le Privacy Shield pourra garantir aux citoyens européens que leurs données personnelles (achats, messages publiés sur les réseaux sociaux, historique de navigation, etc) bénéficient d’un niveau de protection équivalent aux Etats-Unis que celui dont elles bénéficient en Europe une fois qu’elles ont franchi l’océan Atlantique. Le texte exclut ainsi la surveillance de masse des consommateurs au travers des nombreuses données Internet qui sont au cœur de l’activité de nombreuses entreprises américaines à l’instar d’Amazon, de Facebook, de Google et de Microsoft.
Protection des données personnelles des citoyens
Dans le cas de suspicion d’abus, le texte prévoit qu’après dépôt d’une plainte auprès des CNIL, celles-ci les transmettront aux autorités américaines compétentes (Department of Commerce et Federal Trade Commission) qui veilleront à ce que les entreprises qui adhèrent au programme respectent leurs engagements. Par ailleurs, les États-Unis ont nommé un médiateur chargé de recueillir les plaintes, auquel les citoyens n’auront toutefois pas accès directement. En effet, les autorités de protection des données serviront d’intermédiaires.
L’accès à ces données sera limité et contrôlé. Néanmoins, les États-Unis s’accordent le droit de d’y déroger dans six cas laissés à leur libre arbitre : la lutte contre certaines activités des puissances étrangères, contre le terrorisme, contre la prolifération nucléaire, la cyber-sécurité, la détection de menaces visant les US ou ses forces alliées, et la lutte contre les menaces criminelles transnationales.
Afin de contrôler le fonctionnement de l’accord, la Commission européenne et la Federal Trade Commission le réexamineront tous les ans avec l’aide d’experts du renseignement européens et américains. Pour l’heure, les autorités nationales de protection des données personnelles et les États membres de l’Union doivent encore examiner le texte, a priori avant le mois d’avril.
