Privacy Shield : qu’est-ce que ça change ?

Le Privacy Shield de l'Union Européenne est-il vraiment si différent du très mal-nommé Safe Harbor ? Qu'est-ce que ce nouveau texte changera pour les entreprises et les ressortissants européens ? L'association ISSA France recevait Maître Sandrine Cullaffroz-Jover pour un décryptage en règle.

A l’occasion de sa dernière soirée afterwork l’association ISSA France s’est intéressée au fameux Privacy Shield, le remplaçant annoncé de l’accord Safe Harbor invalidé par la Cour de Justice de l’Union européenne

Privacy Shield, tout comme son prédécesseur, vise à permettre aux entreprises américaines de traiter des données personnelles de ressortissants européens. La tentation est grande, donc, d’y voir un simple changement de nom entre deux textes très similaires. Un tour de passe-passe diplomatico-juridique, en quelque sorte.

Mais ça serait une erreur : pour Maître Sandrine Cullaffroz-Jover, conviée pour  l’occasion à décrypter le texte, celui-ci réussi un tour de force en trois volets :

  • il oblige les entreprises américaines à une plus grande transparence dans leurs procédures de traitement des données personnelles
  • il renforce la capacité de contrôle des entreprises américaines par les consommateurs européens
  • il facilite les recours des consommateurs auprès de la justice américaine

Le texte est donc très différent de son prédécesseur. Et il ne date pas d’hier, non plus. Si les médias se sont emparés de l’affaire en octobre dernier avec l’invalidation du mal-nommé Safe Harbor, l’avocate rappelle que la genèse du Privacy Shield remonte à l’affaire Snowden, en 2013. C’est à ce moment que le G29 (le groupe des « CNIL » européennes) entame un travail de fond destiné à remettre à plat les règles de transfert des données personnelles hors de l’Union Européenne. 

Alors certes, la plainte déposée en Irlande par Max Schrems, qui a conduit à la désormais célèbre décision de la Cour de Justice de l’Union européenne, a marqué un tournant décisif dans cette affaire. Mais le texte lui-même était en gestation depuis plus de deux ans à l’époque.

Que trouve-t-on, alors, dans les 132 pages du « package » Privacy Shield ?

Plus de transparence : les entreprises américaines qui traitent ou stockent les données personnelles de ressortissants européens vont devoir montrer patte blanche si elles souhaitent continuer à le faire. Elles devront notamment déclarer la totalité de leur chaîne de sous-traitants et renforcer les procédures de due diligence à leur égard. Elles devront également documenter et auditer les mesures mises en oeuvre pour assurer la protection des données personnelles.

En outre, mêmes si elles souhaitent ne plus traiter de telles données – par exemple parce que les exigences de sécurité sont trop contraignantes par rapport au chiffre d’affaire généré – elles devront tout de même continuer à appliquer les mêmes standards aux données déjà collectées tant que ces dernières ne seront pas détruites.

Plus de contrôles : Le Privacy Shield impose au gouvernement américain la nomination d’un observateur indépendant chargé de s’assurer que les dérives révélées par l’affaire Snowden ne se reproduisent plus aux dépends de ressortissants européens. Selon Maître Cullaffroz-Jover c’est sur ce point que se concentrent l’essentiel des critiques contre le texte. Car des exceptions sont prévues à cette obligation de transparence (sécurité nationale, lutte contre le terrorisme), ce qui peut faire craindre un abus des clauses exceptionnelles.

Toutefois des rencontres annuelles sont prévues entre représentants américains et européens afin d’évaluer le fonctionnement du Privacy Shield. Côté américain, la Federal Trade Commission (le gendarme du commerce) fournira notamment des chiffres, qui pourront être comparés à ceux – agrégés – des rapports de transparence publiés par les groupes américains (combien d’injonctions à coopérer avec la justice ou les services de renseignement ont-ils reçus dans l’année écoulée). Une telle comparaison pourrait donc être en mesure de dévoiler statistiquement une nouvelle montée en puissance du programme de surveillance américain, même si l’observateur ne joue pas entièrement son rôle.

Plus de recours : c’est là l’une des grandes innovations du texte. Le Privacy Shield offre aux ressortissants européens de vrais moyens de contrôle des entreprises américaines qui traitent leurs données en dehors de l’Union Européenne. Le texte prévoit tout d’abord que les consommateurs pourront questionner sur ses pratiques l’entreprise qui gère leurs données, et ils devront obtenir une réponse de sa part sous 45 jours. 

Dans le cas où la réponse ne satisfait pas aux exigences du texte, les consommateurs pourront alors avoir accès gratuitement à un médiateur chargé de résoudre le différent plutôt que d’aller en justice. Avec ce texte les entreprises américaines sont donc fortement incitées à soigner leur réponse car l’étape suivante – celle du médiateur – est à leur frais.

« Ce point particulier est à lui seul une véritable avancée. Et il conduira vraisemblablement à terme à une adaptation des clauses contractuelles type », observe Maître Cullaffroz-Jover.

Pas avant l'été 2016

Toutefois le Privacy Shield ne sera pas activé avant, au mieux, l’été 2016. Or le Safe Harbor est quand à lui bel et bien invalidé. Les entreprises européennes peuvent donc avoir l’impression de se trouver aujourd’hui dans un no-man’s land juridique lorsqu’elles cherchent à faire héberger des données personnelles aux Etats-Unis.

Selon l’avocate la première solution serait de réévaluer la nécessité du transfert des données. Un prestataire européen ne serait-il pas en mesure d’offrir le même service ? Si cela n’est pas possible il faudra alors s’appuyer sur les clauses contractuelles type de l’Union Européenne. Attention cependant : ces clauses sont moins protectrices que ne le sera le Privacy Shield. Il sera donc nécessaire de pouvoir changer de cadre une fois ce dernier actif.

De telles stratégies s’inscrivent évidemment dans un mouvement plus général au sein des entreprises consistant à mieux contrôler les données qu’elles collectent, traitent et stockent. Les projets de normalisation de la gestion de données, depuis la chaîne des sous-traitants jusqu’à l’établissement de la stratégie de couverture juridique sont de vastes chantiers qui vont probablement encore durer. Au delà du seul Privacy Shield, la fonction de data-management a donc de beaux jours devant elle !  

Lire les articles précédents :
Le désastre Nissan ou les affres du tout connecté

Quand il suffit de quinze minutes pour trouver comment pirater 200 000 véhicules à travers le monde, l'on comprend mieux...

Fermer