Le 5 juillet, les eurodéputés ont adopté en plénière une résolution – portée par Claure Moraes et déposée au nom de la Commission des libertés civiles (Libé). Celle-ci vise à suspendre le Privacy Shield si les États-Unis ne se mettent pas en conformité avec la réglementation européenne portant sur la protection des données à caractère personnel, notamment le règlement (UE) 2016/679, applicable à partir du 25 mai 2018.
Pour assurer la sécurité des transferts des données entre l’Union européenne et les États-Unis, des accords ont été adoptés entre les deux continents.
A la lumière des révélations Snowden, la Cour de justice de l’Union européenne a annulé l’accord « Safe Harbor » par une décision du 6 octobre 2015 dans l’affaire « Schrems ». Ainsi, les Etats-Unis n’étaient plus considérés comme un espace sur.
Après cette décision, des négociations ont été menées entre la Commission européenne et les États-Unis afin de s’assurer de la conformité du transfert des données. Suite à ces négociations, l’accord Privacy Shield est venu remplacer l’accord Safe Harbor. Depuis son entrée en vigueur le 1er août 2016, les Etats-Unis ont été à nouveau classés parmi les Etats garantissant un niveau adéquat de protection de données.
Une suspension à l’heure de Cambridge Analytica et du Cloud Act
Les récentes révélations ont montré que l’accord ne garantit pas le niveau de protection adéquat requis par la réglementation européenne :
· Facebook a confirmé que les données de 2,7 millions de citoyens de l’UE ont été utilisées de manière abusive par le consultant politique Cambridge Analytica;
· La nouvelle loi américaine portant sur les règles relatives aux réquisitions des autorités américaines sur les données stockées en dehors de leur territoire, le Cloud Act, étend la compétence territoriale des Etats-Unis au-delà des frontières et cela sans passer par l’entraide judiciaire.
Face à cette situation, le projet de résolution (adopté par 29 voix pour, 25 voix contre et 3 abstentions) demande la suspension du Privacy Shield si les défaillances subsistent au 1er septembre 2018. Parmi les défaillances, on peut notamment citer:
· L’absence de surveillance en amont ;
· La nécessité des contrôles systématiques de la conformité ;
· La complexité et l’inefficacité des différentes procédures de recours offertes aux citoyens de l’Union européenne, etc.
Cette suspension devrait être maintenue tant que les autorités américaines ne respectent pas totalement le droit européen en matière de protection de données personnelles.