Quel avenir pour le EU-US Privacy shield ?

Depuis l’application du RGPD, le EU-US privacy shield est contesté, les parties au contrat doivent s’y préparer.

Bien qu’adopté trois mois après le RGPD, ce bouclier (1) censé encadrer les flux de données personnelles entre l’Union européenne et les Etats-Unis d’Amérique a déjà été évalué en octobre 2017 (2) puis par le Parlement européen (3) et récemment par la commissaire à la justice, à la consommation et à l’égalité des genres, Věra Jourová (4). Dans l’intervalle, les parties à un contrat informatique prévoyant des flux de données transatlantiques devront parer à toute éventualité et d’ores et déjà anticiper sa disparition.

La position du Parlement européen sur le EU-US privacy shield

Le Parlement européen reprend les conclusions de la Commission d’octobre 2017, en constatant que les réserves faites à l’époque n’ont pas été suivies d’effet par l’administration américaine.

La Commission souhaitait que le dispositif soit amélioré grâce à la nomination d’un ombusdman, faisant office de surveillant général et médiateur dans l’application des obligations au titre du bouclier, une coopération plus étroite entre autorités administratives et judiciaire des deux côtés de l’Atlantique.

Même si le EU-US Privacy shield avait alors passé le test de la Commission, pour toute réponse aux demandes d’amélioration, l’administration américaine a :

• adopté le Cloud Act pour faciliter l’accès aux données personnelles des «personnes américaines» même si les données sont hébergées physiquement en Europe (4) ;
• facilité la surveillances des communications en réactivant la section 702 du Foreign Intelligence Surveillance Act (FISA) ;
• pris des décrets en application de cette loi renforçant la mise en place d’une surveillance généralisée (Décrets 12333 et 13768).

Dressant ce constat alarmant, le Parlement demandait à ce que, faute de réaction immédiate des autorités américaines, l’application du bouclier soit suspendu à effet au 1er septembre 2018. Il n’en a rien été car la résolution votée n’a aucune valeur contraignante. La Commission a toutefois réagi par la voix de la commissaire Věra Jourová.

La position de la commissaire en charge du EU-US privacy shield

La commissaire en charge du numérique a entendu le message du Parlement et a déclaré faire de la nomination de l’ombudsman la condition sine qua non du maintien de l’EU-US privacy shield.

Les autres conditions posées dans la résolution du Parlement ne seraient pas reprises. Le constat est que les droits du citoyen européen seraient encore plus faibles sans le privacy shield qu’avec, aussi imparfaite sa mise en œuvre puisse être.

La nomination de l’ombudsman est cependant clé car celui-ci est l’interlocuteur de l’utilisateur européen : il doit traiter les plaintes relatives à l’application du Privacy Shield. L’administration américaine devrait enfin y pourvoir d’ici le 18 octobre 2018. La Commission devant rendre son rapport annuel d’évaluation à cette même échéance selon des déclarations faites au Financial Times. A défaut, c’est bien une suspension du Privacy Shield qui est envisagée.

Dans le même temps, la Commission envisage mener le combat sur un autre terrain, celui de la lutte contre le détournement de finalité du traitement de données personnelles, à des fins politiques notamment. Ce qui est dans le viseur de la Commission est la fuite de données à l’instar du fameux scandale ayant impliqué Facebook et l’agence Cambridge analytica. Dans ce cas, l’amende maximale prévue dans le RGPD à 4% du chiffre d’affaire annuel mondial passerait à 5%.

Les réponses en cas d’éventuel disparition du EU-US privacy shield

La disparition du Safe Harbor par arrêt de la Cour de justice de l’Union européenne, fin 2015, a laissé des traces (5). Même lorsque le EU-US Privacy Shield s’applique et est visé dans le contrat, une pratique de plus en plus courante amène les parties à prendre la précaution de prévoir qu’elles s’engagent par avance à respecter tout futur accord qui pourrait s’y substituer.

En cas de sa disparition « sèche », elles peuvent aussi se référer notamment :

• aux Binding corporates Rules (BCR) pour les contrats intragroupes,
• aux clauses contractuelles types proposées par la Commission européenne,
• ou encore, lorsque les flux s’y prêtent, sur le fondement d’une des exceptions à l’interdiction des flux transfrontières visées à l’article 69 de la loi Informatique et libertés.

Indispensables à l’activité économique de nombreuses sociétés, l’encadrement des flux transatlantiques se doit d’être d’autant plus rigoureux.

Eric Le Quellenec
Lexing Informatique conseil

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
(2) Rapport annuel sur le Privacy shield, octobre 2017.
(3) Résolution du Parlement européen, juin 2018.
(4) Interviews de la Commissaire Věra Jourová, juin 2018.
(5) Etat des lieux sur l’invalidation du Safe Harbor par la CJUE, Post du 30 octobre 2015.