Du « Safe Harbor » au « Privacy Shield », jeux de lobby et prise de conscience des politiques ?

Quelles sont les implications du nouvel accord sur la protection de données personnelles entre l’UE et les États-Unis ? Une médiation, un peu plus de transparence et un bon reste de flou.

L'Union européenne a signé mardi un nouvel accord de confidentialité majeur visant à assurer le droit des entreprises à partager à exploiter les données outre Atlantique. L'accord baptisé « Privacy Shield », remplace l'accord « Safe Harbor » qui a été annulé par la cour de justice européenne en octobre dernier. Il avait été alors démontré que les entreprises américaines assujettis aux écoutes des agences de surveillance de Washington, n’étaient pas en mesure de protéger les données des utilisateurs européens.

«En protégeant les droits fondamentaux des individus lorsque leurs données personnelles sont transférées de l'Europe vers les États-Unis, et en en garantissant un cadre  juridique clarifié pour les entreprises exploitant légalement ces données, le « Privacy Shield »  renforcera l'économie transatlantique et permet de réaffirmer nos valeurs communes» a déclaré Vera Jourová, commissaire européen chargée de la justice, des consommateurs et de l'égalité des genres durant la conférence de presse.

La secrétaire américaine au Commerce Penny Pritzker a également salué l'accord, le qualifiant "d’étape importante dans la gestion de la vie privée des citoyens à un moment où le partage de données est moteur de la croissance dans tous les secteurs."

La protection de données personnelles en Europe est généralement plus forte qu’aux États-Unis, mais le précédent accord  « Safe Harbor » a permis à environ 4500 entreprises de déplacer des données européennes aux États-Unis sous condition de respecter un certain nombre principes de confidentialité lors de la manipulation des informations. Ces flux de données sont essentiels pour assurer la bonne conduite des opérations de nombreuses entreprises,  particulièrement pour les services en ligne qui ont souvent des « Data Centers » disséminés dans le monde entier. 

Le problème de cet accord était l’aspect générique des conditions de confidentialités appliquées ainsi que le manque de contrôle dans l’application de ces règles, ce qui rendait très difficile pour les Européens de constater la violation de leurs droits.

Grâce au « Privacy Shield », les Européens auront de nouvelles façons de contester les violations potentielles de confidentialité impliquant la façon dont leurs données sont utilisées hors de l’UE. Il y aura également un nouveau médiateur dans le Département d’État américain chargé de répondre aux plaintes de confidentialité européennes. Beaucoup de spécialistes se gaussent déjà de ce mécanisme, et doutent de l’indépendance effective du médiateur envers les services de renseignement au regard des nombreuses affaires étouffées aux États-Unis sur ces sujets.

L’approbation de ce nouveau cadre soulage l’écosystème de la Tech américaine, dont les lobbyistes sont à la manœuvre auprès du congrès américain et de la chambre de commerce depuis l’annulation du précédent accord par la Cour de justice de l’Union européenne. Les entreprises concernées vont pouvoir s’engager pour être couvert par l'accord dès le début du mois d’août.

«La Chambre se félicite de la sécurité juridique que le 'Privacy Shield' permet aux entreprises américaines et européennes lors des transferts de données transatlantique», a déclaré Myron Brilliant, vice-président exécutif de la Chambre de commerce des États-Unis, dans une déclaration par courriel. "En plus des protections fortes prévues pour les consommateurs, le « Privacy Shield » établit une base solide répondant aux questions plus larges autour de l'usage et l’accès aux données par le gouvernement des États-Unis."

Mais l'accord passe mal auprès des défenseurs de la confidentialité qui constatent que cet accord ne fait pas assez pour protéger les données des citoyens de l'UE. A leur tête, Max Schrems, l'activiste autrichien de la vie privée dont l’opposition a contribué à l’abrogation de « Safe Harbor ». Ce dernier a critiqué l'accord dans un communiqué immédiatement publié en ligne après l’annonce de l’accord. Le « Privacy Shield »  est le produit de la pression conjointe de l'industrie de l’IT et des États-Unis, il ne découle pas de considérations rationnelles ou raisonnables», a écrit monsieur Schrems.

Il a également soutenu que l'accord ne serait probablement pas conforme au droit. «Cet accord est mauvais pour les utilisateurs, qui ne bénéficient pas de protection de la vie privée appropriées et mauvais pour les entreprises, qui doivent faire face à une solution juridiquement instable", a déclaré Max Schrems.

Il est clair que ce nouvel accord, bouclé dans une relative précipitation sera l’objet de nouvelles tractations dans les années à venir, dans la mesure où les questions de protection de la vie privée et de la valorisation de la donnée commencent tout juste à émerger dans les leviers d’intérêt des décideurs politiques. Il n’est pas à exclure qu’un scandale révélé par des activistes ou des associations de défense de consommateurs accélèrent les choses comme cela a peut l’être pour l’abrogation du  « Safe Harbor ».