[box style=”5″]
La signature par Donald Trump d’un décret présidentiel sur la sécurité publique et intérieure des Etats-Unis le 25 janvier dernier a fait planer des doutes sur la pérennité du Privacy Shield, accord transatlantique sur le transfert de données personnelles. Les inquiétudes ne seraient pas fondées, d’après la Commission européenne, qui reste toutefois vigilante.
[/box]
En place depuis le 1er aout 2016, le Privacy Shield permet aux entreprises européennes et américaines d’échanger des données personnelles dans un cadre visant à accorder au titulaire de ces données un niveau de protection, notamment en termes de recours judiciaires, équivalent de chaque côté de l’Atlantique. Si le Privacy Shield permet un accès des autorités américaines aux données personnelles transférées, cet accès se doit d’être raisonnable, justifié par la poursuite d’objectifs d’intérêt public, de sécurité ou de respect de la loi.
Parmi les premières décisions (Executive Orders) du Président Trump l’un des textes a pour finalité « d’améliorer la sécurité publique » à l’intérieur des Etats-Unis. La 14ème section de ce décret présidentiel donne instruction aux agences américaines (CIA, NSA, FBI…) de traiter de manière différenciée les données personnelles de nationaux américains et celles d’autres nationaux : « Les agences doivent, en application du droit applicable, s’assurer que leurs politiques de confidentialité excluent les personnes qui ne sont pas des citoyens américains ou des résidents permanents légaux des protections de la Loi sur la vie privée (Privacy Act) concernant les informations personnelles ».
Cette instruction est assortie d’une importante précision : le respect du cadre légal en vigueur (« …en application du droit applicable… »). La mise en œuvre du Privacy Shield aux Etats-Unis étant fondée sur un dispositif législatif américain, les protections accordées aux citoyens de l’Union, notamment leur droit de recours, ne devraient pas être affectées par le décret du nouveau Président. Plus spécifiquement, la loi dite Judicial Redress Act autorise les citoyens de l’Union européenne à faire valoir leurs droits à la protection des données devant les tribunaux américains. Cette protection ne devrait donc, en principe, pas être remise en cause par l’Executive Order du Président Donald Trump en ce que ce décret se fonde sur l’application du cadre législatif existant.
La Commission européenne se montre tout à la fois vigilante et rassurante sur ce dossier, insistant notamment dans sa déclaration du 31 janvier 2017 sur le caractère spécifique des échanges de données dans le cadre du Umbrella Agreement, liés à la prévention, détection et à la répression en matière pénale. Une porte-parole de la Commission aurait également confirmé à certains journalistes, dont TechCrunch, que la protection conférée par le Privacy Shield ne reposait pas sur le Privacy Act américain. Elle aurait ajouté que la Commission « continuera de contrôler la mise en œuvre des deux instruments et suivra de près les évolutions aux Etats-Unis qui pourraient impacter les droits à la protection des données des citoyens de l’Union ». Pour l’heure, aucune communication officielle n’a pourtant été publiée. Le député européen des Verts Jan Philipp Albrech, spécialisé dans ces questions s’est pour sa part montré beaucoup plus inquiet, appelant dès l’annonce de l’Executive Order à la suspension du Privacy Shield et Umbrella Agreement.
Il n’en demeure pas moins que, comme le souligne un article de la National Law Review, une lourde incertitude pèse sur l’avenir du Privacy Shield.
