La Commission européenne a détaillé les étapes que les entreprises doivent suivre pour se conformer à l’accord Privacy Shield de protection des données conclu avec les Etats-Unis au début du mois afin de remplacer le Safe Harbor dénoncé en octobre dernier. Comme ce dernier, l’accord Privacy Shield est destiné à garantir que les données personnelles des citoyens européens bénéficieront des mêmes protections qu’en Europe lorsqu'elles seront prises en charge aux Etats-Unis. A l'automne, la Cour européenne de Justice avait estimé que le Safe Harbor ne respectait pas certaines dispositions, ce qui avait conduit les autorités des deux côtés de l’Atlantique à négocier un nouvel accord.

Le 2 février, la Commission avait annoncé qu’elle attendait des assurances écrites de la part des Etats-Unis sur un certain nombre de points, sans publier davantage de détails. La semaine dernière, la ministre du commerce américain, Penny Pritzker, a transmis des assurances à Vera Jourová, Commissaire européenne chargée de la Justice et des consommateurs. Celles-ci ont été rendu publiques aujourd’hui par la Commission qui a publié un projet de décision, le mécanisme juridique par lequel le Privacy Shield est officiellement reconnu comme offrant les mêmes garanties de confidentialité que la législation européenne. Les Etats membres de l’Union et les autorités de protection des données vont pouvoir l’examiner et apporter leurs commentaires avant que ce projet ne soit définitif. La Commission a également publié les principes que les entreprises devront accepter lorsqu’elles auto-certifieront leur conformité avec cet accord. Ce dernier inclut la mise en place d’un médiateur pour prendre en compte les plaintes des citoyens européens relatives à la surveillance américaine de leurs communications et activités en ligne.

L'internaute Max Schrems surligne les points non satisfaisants

Le lobby DigitalEurope installé à Bruxelles, qui compte Apple, Google et Microsoft parmi ses membres, a indiqué avoir bien accueilli le projet de décision. « Nos entreprises se sont engagées à assurer un niveau élevé de protection des données lors de l’exécution des transferts de données transatlantiques et à travailler rapidement pour évaluer et mettre en œuvre le nouveau cadre qui contient des obligations supplémentaires », a indiqué dans un mail son directeur général John Higgins. En revanche, Max Schrems, l’internaute autrichien dont l’action auprès du Commissaire irlandais chargé de la protection des données avait conduit à la fin du Safe Harbor, n’est toujours pas satisfait du nouvel accord. « L’Union européenne et les Etats-Unis ont cherché à mettre dix couches de rouge à lèvres sur un cochon, mais ce les problèmes centraux n’ont à l’évidence pas été résolus », a-t-il indiqué par mail. Max Schrems met en évidence un nombre d’éléments non satisfaisants dans les lettres des autorités américaines publiées ce lundi 29 février par la Commission européenne, incluant une autorisation de surveillance de masse dans la « Presidential Policy Directive 28 » (PPD28). Celle-ci énumère six conditions permettant une surveillance de masse : la détection et la lutte à certaines activités de puissances étrangères, l’anti-terrorisme, la lutte contre la prolifération nucléaire, la cybersécurité, la détection et la lutte contre les menaces visant les Etats-Unis et les forces armées alliées et, enfin, la lutte contre les menaces de crimes transnationaux.

Elle l’autorise également dans certaines circonstances comme l’identification de nouvelles menaces, mais précise que à chaque fois que cela pourra se faire, la collecte de renseignements se fera de façon ciblée plutôt que massivement. Pourtant, la Cour de Justice a estimé que tout recours à la surveillance de masse compromettait le droit au respect de la vie privée. « En gros, les Etats-Unis confirment ouvertement qu’ils enfreignent les droits fondamentaux de l’UE dans au moins six cas », indique Max Schrems. « La Commission déclare qu’il n’y a plus de surveillance de masse quand ses propres documents disent exactement l’inverse ».