Il y a quelques jours, la Commission Européenne et les Etats-Unis sont tombés d’accord sur un cadre de travail, le « EU-US Privacy Shield », à propos des échanges de données transatlantiques. Bref, le début d’une possible solution de remplacement au fameux Safe Harbor invalidé par la justice européenne en Octobre 2015.
Voici notre position en l’état actuel de nos connaissances sur ce dossier.
Tout d’abord, ce qui a été communiqué au monde n’est justement qu’un communiqué de presse. Seule la Commission Européenne a communiqué. Il s’agit de l’annonce d’un accord politique entre Commission et Department Of Commerce US mais nous ne disposons pas de l’accord lui même.
La Commission a désigné 2 membres du collège pour « dans les semaines à venir » négocier le nouveau Safe Harbor rebaptisé Privacy Shield. Le projet d’accord passera par le collège de la Commission et ses 28 commissaires et, pour simple avis préalable, au G29 groupe des CNIL européennes, avant d’être proposé au gouvernement américain.
L’enjeu annoncé: Donner des garanties aux citoyens européens, dont les données personnelles sont exportées dans un pays sans loi protectrice, donc non adéquat pour la Commission, à savoir les USA.
Les intentions: Faire mieux qu’avec le Safe Harbor. Au passage, le Safe Harbnor en prend pour son grade, 15 ans après que la même commission l’ait conclu avec le même Departement of Commerce, et nous ait dit pendant 15 ans que tout allait bien.
Ce qui ne change pas:
- Ce sera un régime d’auto régulation / déclaration comme le Safe Harbor. À un an des élections américaines, le législateur US actuel n’est peut-être pas en mesure de voter une loi;
- Sous l’égide de la Federal Trade Commission (une sorte d’ARCEP business) comme le Safe Harbor;
- Sous loi américaine comme le Safe Harbor.
Ce qui change:
- L’affirmation de contrôles et de sanctions fortes pour les contrevenants;
- La création d’un Ombudsman, une sorte d’institution d’origine suédoise, qui va constituer un médiateur pour toutes demandes d’information ou plaintes venant d’Europe. La création de cette institution nouvelle semble la réponse directe de la Commission à l’arrêt de la Cours de Justice de l’Union Européenne l’ayant sanctionné.
- La rédaction d’un rapport annuel sur l’état du Privacy Shield établi par l’UE et les USA.
Ce qu’on ne sait pas:
- Y aura t’il un programme de contrôle annuel comme en France ?
- L’Ombudsman, sous le gouvernent américain, et agissant sous loi américaine, aura t’il un pouvoir de coercition et plus généralement quels seront ses pouvoirs ?
En conclusion, des intentions et des affirmations intéressantes, mais rien de très concret pour l’Europe et les européens pour l’instant. Il faudra attendre le texte de l’accord juridique lui même.
A lire: Le communiqué de presse de l’Union Européenne du 2 février 2016
Merci à Me Olivier Iteanu pour son éclairage.