D'après Olivier Reisch, le Privacy Shield est un pas dans la bonne direction. L'accord risque, toutefois, de n'être que temporaire. (Photo: Linklaters)

D'après Olivier Reisch, le Privacy Shield est un pas dans la bonne direction. L'accord risque, toutefois, de n'être que temporaire.  (Photo: Linklaters)

Monsieur Reisch, peut-on considérer que le Privacy Shield annoncé le 12 juillet est une version améliorée du Safe Harbor?

«C’est, en tout cas, une progression et un pas dans la bonne direction. Depuis octobre 2015, période qui a vu la Cour de justice de l’Union européenne invalider le Safe Harbor, il régnait un grand flou en matière de transferts de données. Neuf mois plus tard, les États-Unis et l’Union européenne se sont donné du mal pour améliorer le cadre. Il fallait urgemment mettre en place un régime alternatif qui puisse répondre aux critères définis par la justice européenne. Ce nouveau régime, qui prévoit des certifications sur base volontaire, devrait débuter dès le mois d’août. La flexibilité pour les entreprises américaines sera plus élevée, même si elles seront aussi plus contrôlées. Une fois qu’elles seront certifiées, on pourra directement leur transférer des données en provenance de l’UE. À la condition que ces dernières se comportent comme si elles étaient implantées sur le sol européen.    

Quels sont les éléments nouveaux dans ce texte?

«Il y en a plusieurs. La mise en place d’un système de contrôle par la Federal Trade Commission, l’organe américain de surveillance du commerce, fait partie des points-clés. Dans le cas du Safe Harbor, une des grandes critiques était le manque de suivi de l’usage fait des données par les acteurs privés. Des contrôles se feront à présent sur une base annuelle. Ensuite, des recours directs pour les citoyens ont été définis, par exemple la possibilité de saisir l’ombudsman américain si une entreprise ne respecte pas ses engagements. Les régulateurs européens pourront également prendre contact avec lui et opérer une sorte d’arbitrage entre l’UE et les USA. En matière de sanction, la FTC pourra décider de retirer la certification. Aujourd’hui, on ne s’attend pas à un rush d’entreprises souhaitant se faire certifier. Ce sera plutôt un mouvement progressif. Il est possible que ce Privacy Shield n’ait pas le succès que la Commission européenne espère, même si la plupart des entreprises certifiées sous le Safe Habor opteront sans doute pour cet exercice.

Quels sont les doutes qui subsistent?

«Beaucoup se demandent si cet accord offre suffisamment de garanties. Il repose, en grande partie, sur la bonne volonté du gouvernement américain qui s’engage à en respecter les principes-clés. Certains spécialistes du droit américain considèrent qu’il aurait fallu légiférer pour être certain de l’absence de surveillance de masse des citoyens, ce que le timing réduit n’a pas permis. Il est toujours possible de le faire dans un deuxième temps, mais il est, à ce stade, difficile d’évaluer la volonté politique dans ce domaine. Ce sujet pourrait, cependant, redevenir une priorité si la Cour de justice de l’Union européenne était à nouveau saisie. Max Schrems, l’étudiant autrichien qui avait attaqué Facebook, a déjà fait savoir qu’il envisageait cette possibilité. Il est donc possible que cet accord ne soit que temporaire. Ensuite, durant les neuf mois intermédiaires, les entreprises ont trouvé des modes de transferts alternatifs. Par exemple des clauses contractuelles négociées au cas par cas, des 'binding corporate rules' ou encore, dans des cas exceptionnels, le consentement des citoyens concernés. On peut se demander si les entreprises ayant fait un de ces choix récemment ne voudront pas le conserver et si ces solutions seront viables à long terme.» 

Articles Associés