Pour Tine Larsen, à la tête de l'instance de contrôle garante de la protection des données au Luxembourg, le Privacy Shield pourrait permettre de renforcer la confiance des consommateurs européens vis-à-vis des entreprises américaines. (Photo: CNPD)

Pour Tine Larsen, à la tête de l'instance de contrôle garante de la protection des données au Luxembourg, le Privacy Shield pourrait permettre de renforcer la confiance des consommateurs européens vis-à-vis des entreprises américaines.  (Photo: CNPD)

Refonte du précédent accord Safe Harbor enterré en octobre dernier, le Privacy Shield ou «bouclier de la protection des données» a pour objectif de fixer des règles enfin claires et un cadre transparent pour l’utilisation des données concernant des citoyens européens par des acteurs américains. C’est aussi une étape supplémentaire vers le Digital Single Market.

«Les flux de données entre les deux continents sont essentiels pour nos deux économies», introduit Tine Larsen, présidente de la Commission nationale pour la protection des données. «Un cadre solide y compris sur le plan de la sécurité était plus que nécessaire. C’est une bonne chose que le Privacy Shield ait été négocié. Cet accord est meilleur que le Safe Harbor, et meilleur que le vide juridique qui prévalait avant sa concrétisation. Une grande attention est aujourd’hui portée sur les entreprises américaines, beaucoup moins sur les acteurs russes ou chinois. Une fois le contenu précisé et compris, il pourra peut-être contribuer à rétablir la confiance des consommateurs.»

Les entreprises étaient demandeuses d’une base légale claire.

Tine Larsen, présidente de la Commission nationale pour la protection des données

Depuis l’annulation du Safe Harbor par la Cour de justice européenne, la CNPD estime à 180 le nombre de demandes d’autorisations de transfert vers les USA grâce à une autre base légale, principalement en provenance de banques ou de services en ligne. «L’économie avance à grande vitesse. Les entreprises ne pouvaient pas attendre plus longtemps. Elles étaient demandeuses d’une base légale claire et compréhensible.»  

Points d’attention

Sur 44 pages, dont seulement 2 pages de décision et 103 pages d’annexes, la première version du Privacy Shield divulguée en février 2016 avait été scrutée par toutes sortes d’organismes, du Parlement européen au groupe de travail «Article 29», qui rassemble toutes les instances de contrôle européennes. Ce dernier avait émis un avis défavorable le 13 avril dernier.

«À l’époque, nous considérions que cet accord manquait de transparence», se rappelle Tine Larsen qui y représente le Luxembourg. «Plusieurs points manquaient à l’appel. Depuis lors, le texte a été amendé. La nouvelle version compte 105 pages. La prochaine étape pour nous sera d’en analyser toutes les dispositions et déterminer si l’ensemble de nos remarques ont été prises en compte.»

Le Safe Harbor était une inscription sur un registre.

Tine Larsen, présidente de la Commission nationale pour la protection des données

Dans les éléments qui ont été ajoutés, plusieurs mécanismes de résolution de conflits ont été prévus, dont le recours à une médiation de l’ombudsman américain, ainsi qu’une surveillance renforcée des entreprises par la Federal Trade Commission, le régulateur du commerce aux USA. «Le Safe Harbor était une inscription sur un registre. Il n’y avait pas vraiment d’obligation sous-jacente. Localement, il suffisait de nous envoyer une notification. Dans ce texte-ci, des contrôles se feront sur une base annuelle.»  

Avis concerté

Le groupe de travail «Article 29» se réunira pour une session de travail le 25 juillet afin d’élaborer, en connaissance de cause, une position concertée. L’encadrement de la surveillance de masse des citoyens européens fera partie des questions brûlantes à aborder.

Il est essentiel que les 28 autorités aient la même approche.

Tine Larsen, présidente de la Commission nationale pour la protection des données

«Seul, le Luxembourg n’a pas les moyens d’apprécier la complexité de la situation américaine, c’est un exercice forcément collectif. Il est essentiel que les 28 autorités aient la même approche pour en finir avec le flou juridique et artistique en cours. On ne peut pas interdire les transferts de données vers les USA, il faut trouver une solution cohérente», résume la présidente de la CNPD.  

Pour vulgariser le contenu de l’accord américano-européen et clarifier certains points, la Commission européenne et la Federal Trade Comission planchent toutes deux en ce moment sur la création de guides pratiques à destination des entreprises, comme des citoyens. Ils devraient être mis en ligne d’ici le début du mois d’août, date d’entrée en vigueur du Privacy Shield.

Articles Associés