Le Privacy Shield est un accord passé entre la Commission européenne et l’administration fédérale américaine, la Federal Trade Commission. Cet accord remplace l’accord de Safe Harbor qui a été annulé, conséquence de l’arrêt Schrems / Data Protection Commissioner du 6 octobre 2015 de la Cour de Justice de l’Union européenne.
Les juges de la cour du Luxembourg relevèrent que l’accord présentait des défaillances, particulièrement le « manque de transparence du mécanisme d’auto-certification des entreprises et l’insuffisance des dispositifs de détection et de contrôle par le Federal Trade Commission». Elle a par ailleurs condamné la violation des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, qui a trait au respect de la vie privée et à la protection des données personnelles, notamment en raison de plusieurs constatations d’ingérence émanant de la National Security Agency (NSA). De surcroit, l’administration fédérale américaine va au-delà de la finalité nécessaire et proportionnée à la protection de la sécurité nationale.
En outre, le droit conféré par l’article 47 de la charte des droits fondamentaux de l’Union européenne en matière de droit à un recours effectif devant un tribunal impartial est bafoué. Le juge rappelle qu’en vertu de l’article 25 de la directive 95/46, il incombe à la Commission de Bruxelles de décider si un pays tiers offre un niveau de protection adéquat apprécié en fonction de sa législation interne ou de ses engagements pris au niveau international. Cette reconnaissance  permet le transfert des données personnelles sans encadrement particulier.
L’avocat général de la Cour de justice avait déjà relevé que « les Etats-Unis n’offrent aucune protection réelle des données conservées sur le territoire… une fois que les données à caractère personnel sont transférées aux États-Unis, la NSA ainsi que d’autres agences de sécurité américaines telles que le Federal Bureau of Investigation (FBI) peuvent y accéder dans le cadre de la surveillance et d’interceptions de masse indifférenciées
Pour interpréter une telle décision, il y a lieu de se référer au contexte, et notamment, l’affaire PRISM et les révélations d’Edward Snowden, qui ont permis de sensibiliser l’opinion publique et qui ont abouti à la remise en cause de cet accord. Il y a un réel débat au sein de la société sur la difficile conciliation entre l’approche européenne et l’approche américaine. L’approche européenne est d’avantage axée et sensible à la protection des données personnelles ; l’approche américaine d’inspiration « propriétariste » est d’avantage axée sur la sécurité nationale.

Concernant le traitement de données pour des fins de surveillance, l’autorité américaine fournit « un engagement écrit pour un usage nécessaire et proportionné aux principes de Presidential Policy directive article 28 ». Malheureusement, il ne s’agit que d’une simple directive présidentielle à l’ère Obama et n’est pas inscrit en droit américain qui reste inchangé.
Toute ingérence peut toujours être justifiée à des fins de sécurité nationale. En outre, à la fin de l’année le titre VII du FISA Amedments Activity (FAA) américain expire, c’est elle avec la controversée « section 702 » qui a servi de fondement juridique à la surveillance de masse de tout ressortissant d’un pays étranger.
Le principe de finalité limitée doit être explicité comme la durée de conservation. Une précision est également nécessaire concernant le recours au droit, les autorités nationales compétentes (CNIL) devraient avoir la possibilité d’intenter des actions judiciaire au nom des personnes concernées.
Critiquée également, la disposition de l’accord, qui renvoie beaucoup aux annexes risquant de porter atteinte au principe d’intelligibilité du droit. Ces annexes font référence à des engagements pris par des responsables administratifs américains en fin de mandat. Est exclue du champ matériel la télécommunication.
Le président succédant au signataire, crie haut et fort, que “le droit américain sera applicable que pour les Américains”, donc un autre droit se voit ignorer par l’administration Trump remettant fortement en cause l’accord Privacy Shield.
Pouvons nous toujours parler de protection des données personnelles dans un monde où 90% des serveurs racines se trouvent aux Etats-Unis ?
 

A propos de Yakup AYG†ÜN