Le 25 janvier 2017, à la veille de la journée de la protection des données, le 45ème président des Etats-Unis, Donald Trump a signé un décret intitulé « Améliorer la sécurité publique à l’intérieur des États-Unis ». Il permet d’expulser des étrangers entrés illégalement ou légalement aux Etats-Unis, mais dont le visa est arrivé à expiration ou ceux n’ayant pas respecté les conditions liées à leur visa.
Cependant, ce décret ne peut être appliqué que si les autorités judiciaires disposent des moyens nécessaires à la surveillance des étrangers concernés. Or, les lois sur la protection de la vie privée peuvent constituer un obstacle à l’obtention des informations permettant de les identifier. C’est la raison pour laquelle la section 14 de l’ « executive order » prévoit que les agences gouvernementales « devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables. ».
Ce décret a déclenché une houle de commentaires et d’inquiétudes dans le monde et a amené de nombreuses questions quand à l’impact de ce décret sur le tout récent Privacy Shield signé le 12 juillet 2016.
Un accord adopté dans l’urgence
Le Privacy Shield facilite les transferts par des sociétés de données personnelles des pays membres de l’Union Européenne vers les Etats-Unis. Il est venu compléter l’Umbrella agreement du 2 juin 2016. Les négociations de cet accord ont été amorcées dans l’urgence, après l’annulation par la Cour de Justice de l’Union Européenne en 2015 du Safe Harbor de 2009. Cet accord posait un ensemble de principes de protection des données personnelles auquel des entreprises établies aux Etats-Unis pouvaient adhérer volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne. Mais selon le requérant Maximilian Schrems, le Safe Harbor n’offrait pas des garanties suffisantes pour protéger les données à caractère personnel des européens. Les Etats-Unis sont en effet considérés par les européens comme un pays qui n’assure pas une protection suffisante de ces données. Formellement, la Commission Européenne a adopté une décision qui affirme que lorsqu’elles sont traitées dans le cadre négocié, les données des européens envoyées vers les États-Unis sont présumées bénéficier d’un niveau de protection juridique équivalent à celui dont les justiciables auraient bénéficié au sein de l’Union. Le but était d’apporter une sécurité juridique aux entreprises qui exercent leurs activités dans les deux régions.
Toutefois, le groupe 29 qui rassemble toutes les Commissions Nationales Informatiques et Libertés européennes dénoncent le manque d’encadrement concernant les données accessibles aux services de renseignement.
Ces risques n’en sont que plus réels depuis que le décret anti-immigration de D.Trump a été adopté.
Des craintes justifiées ?
Le député européen Jan Philipp Albrecht été le premier à réagir et a tweeté « Si cela se confirme, @EU_Commission doit immédiatement suspendre #PrivacyShield et sanctionner les États-Unis pour avoir rompu l’accord-cadre entre l’UE et les États-Unis ».
Cette notion de « pas de protection de la confidentialité pour les citoyens non-américains » heurte l’essence même du Privacy Shield, qui érige comme credo le fait que les données des citoyens européens exportées aux Etats-Unis bénéficient de la même protection que le droit européen.
Mais, selon Vera Jourovà, porte-parole de la Commission Européenne, le Privacy Shield protège les données des citoyens de l’Union Européenne transférées aux États-Unis. Par contre il ne couvre pas la confidentialité des données collectées aux États-Unis. La décision de Donald Trump ne devrait donc pas toucher les citoyens européens dont les données sont hébergées aux Etats-Unis pour deux raisons.
D’une part, car « La loi américaine sur la protection des renseignements personnels, le Privacy Act, n’a jamais couvert la protection des données des citoyens européens. Le Privacy Shield n’est pas lié au Privacy Act, qui concerne les données détenues par les agences américaines, et non par des sociétés privées », selon Vera Jourovà.
D’autre part, en février 2016, le Sénat américain avait ratifié un nouvel accord, le Judicial Redress Act, suivi de l’Umbrella Agreement (article 19) qui devait permettre aux Européens de bénéficier des protections du Privacy Act de 1974. Il réglemente la collecte, le traitement et l’utilisation des données personnelles par les agences fédérales. Il permet à des citoyens américains de poursuivre en justice des compagnies américaines qui dévoileraient au gouvernement leurs données personnelles.
Il faut souligner le fait que le Privacy Act a plus de quarante ans et n’a jamais été modifié, ni adapté aux évolutions technologiques auxquelles le monde est confronté. C’est donc à se demander si le niveau de protection assuré est suffisant au regard des enjeux actuels qui entourent les données à caractère personnel.
Etendu aux européens, il leur donne notamment la possibilité d’engager des actions civiles devant les tribunaux des États-Unis si les entreprises viennent à violer intentionnellement le Privacy Act lorsqu’elles gèrent les données personnelles. Or en l’espèce, les citoyens européens ont toujours un accès aux juridictions américaines et le Judicial Redresse Act semble toujours s’appliquer et ne pas être touché par le décret en question.
Néanmoins, le Judicial Redress Act étendant certains bénéfices du Privacy Act aux européens, a permis la mise en place du Privacy Shield. Dès lors, si le Judicial Redress Act n’est pas nommément visé par le décret, il semble être indirectement remis en cause, de sorte que le Privacy Shield est menacé.
Vera Jourovà soutient que si la protection des données personnelles des citoyens européens ne peut plus être garantie par le droit américain, le Privacy Shield devra être suspendu.
Un avenir incertain mais porteur de lourdes conséquences
Toute suspension du Privacy Shield signifierait un retour au flou juridique pour les 1500 entreprises qui traitent actuellement des données aux Etats-Unis grâce à ce système, ce qui inclue même Facebook, Twitter, Google et Microsoft. Ce décret, s’il s’avère être une réelle menace, va à l’encontre de tout ce qu’ont cherché les porteurs et rédacteurs de l’accord : assurer un niveau de protection adéquat aux traitements et données à caractère personnel dans les pays où la législation est plus souple en la matière.
Obama avait même signé le 17 janvier 2014 une « Policy directive » qui imposait aux agences fédérales de protéger « la vie privée et les libertés de toute personne, quelque soit leur nationalité et leur lieu de résidence ». Mais la lignée de la nouvelle administration et du nouveau Président américain s’inscrit dans une visée toute autre : le nationalisme, la sécurité de l’Etat avant toute protection de l’individu non américain en tant qu’être doté d’un droit à la vie privée et à la protection de ses données personnelles.
Le Privacy Shield était certes déjà remis en cause par les activistes qui estimaient qu’il était de toute manière insuffisant pour protéger notre vie privée et qu’il donnait encore l’accès des agences de surveillance américaines aux données des citoyens européens, il n’en demeure pas moins qu’il a permis de réunir la signature des grands de l’Internet et de nombreuses entreprises. Au delà des enjeux juridiques, s’il y a suspension de l’accord, le risque de complication des relations commerciales entre les deux régions est donc réel, et les retombées économiques ne se feraient très certainement pas attendre.
D’autres mécanismes de transferts de données personnelles des citoyens européens vers les Etats-Unis existent mais ils sont généralement plus complexes à mettre en oeuvre par les entreprises. Leur légalité a même été remise en question. Pour parer au pire, l’Union Européenne pourrait augmenter ses investissements dans les entreprises européennes du numérique afin de cantonner et faire croitre les transactions de données au sein de l’Union Européenne où leur protection serait assurée.
Tel un feuilleton à l’américaine la maison blanche est tous les jours sujette à de nouvelles controverses, à croire que le Président des Etats-Unis est tout droit sorti d’un « reality show ».
Sources :
ORSINI (A.), « Données personnelles : un décret de Trump inquiète les défenseurs du Privacy Shield », numerama.fr, mis en ligne le 27 janvier 2017, consulté le 29 janvier 2017, http://www.numerama.com/politique/227757-donnees-personnelles-un-decret-de-trump-inquiete-les-defenseurs-du-privacy-shield.html.
LOMAS (N.), « Trump order strips privacy rights from non-U.S. citizens, could nix EU-US data flows », techcrunch.com, mis en ligne le 26 janvier 2017, consulté le 1er février 2017, https://techcrunch.com/2017/01/26/trump-order-strips-privacy-rights-from-non-u-s-citizens-could-nix-eu-us-data-flows/.
ELYAN (J.), « Selon l’UE, « le décret de Trump ne remet pas en question le Privacy Shield » », lemondeinformatique.fr, mis en ligne le 30 janvier 2017, consulté le 1er février 2017, http://www.lemondeinformatique.fr/actualites/lire-selon-l-ue-%C2%A0le-decret-de-trump-ne-remet-pas-en-question-le-privacy-shield%C2%A0-67217.html.
TRAINING (A.), « Has President Trump’s executive order on ‘Public Safety’ killed off Privacy Shield? », theregister.co.uk, mis en ligne le 30 janvier 2017, consulté le 3 février 2017, https://www.theregister.co.uk/2017/01/30/trump_executive_order_public_safety_privacy_shield/.
ANONYME, « Privacy Shield: Impact of Trump’s Executive Order », huntonprivacyblog.com, publié le 28 janvier 2017, consulté le 3 février 2017, https://www.huntonprivacyblog.com/2017/01/28/privacy-shield-impact-of-trumps-executive-order/.
MC CARTHY (K.), « Trump signs ‘no privacy for non-Americans’ order – what does that mean for rest of us? », theregister.co.uk, publié le 26 janvier 2017, consulté le 4 février 2017, https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/.