Un décret adopté par Donald Trump menace potentiellement le Privacy Shield, l'accord censé veiller à la protection des données personnelles des citoyens européens exportées aux États-Unis par des entreprises comme Google et Facebook. La Commission européenne se veut rassurante mais affirme sa vigilance.

L’accord Privacy Shield, qui présume que les données personnelles des Européens exportées aux États-Unis par des entreprises bénéficient du même degré de protection qu’en droit européen, aura nécessité de longs mois de négociation entre les États-Unis et l’Union européenne avant d’être adopté en juillet dernier.

Si de grands noms du milieu, comme Microsoft, Google et Facebook n’ont pas tardé à s’engager à le respecter — alors que de nombreuses critiques perdurent à son sujet — son application est désormais directement menacée par Donald Trump.

Exclusion des « non-citoyens américains »

La quatorzième clause du décret «  d’amélioration de la sécurité publique au sein des États-Unis » — le fameux texte anti-immigration de Trump — signé cette semaine par le 45ème président affirme en effet : «  Les agences [comme la NSA et le FBI] devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables. »

Le rapporteur du Parlement européen en matière de protection de données, Jan Philipp Albrecht, n’a pas caché son inquiétude sur Twitter : « Si cela est confirmé, la Commission européenne doit immédiatement suspendre le Privacy Shield et sanctionner les États-Unis d’avoir violé l’accord ».

La Commission européenne se veut rassurante

La Commission européenne, elle, a tenu à se montrer rassurante en indiquant que le Privacy Shield ne dépendait pas du Privacy Act, le texte de 1974 qui encadre l’usage des données personnelles de citoyens américains par les agences fédérales : « Nous sommes au courant du décret qui a été adopté. Le Privacy Act américain n’a jamais garanti la protection des données personnelles des Européens. » Cette affirmation contredit pourtant une déclaration antérieure de l’Union européenne à propos du Privacy Act.

Dans une explication de septembre 2015 sur le contenu du Privacy Shield, elle le présentait en effet comme une « extension du cœur des garanties juridiques » fournies par le Privacy Act. L’adoption du Privacy Shield a été permise par le Judicial Redress Act adopté par Barack Obama en 2014, une extension directe des garanties du Privacy Act aux citoyens non-Américains.

L’Union européenne affirme tout de même sa vigilance : « Nous continuerons à suivre de près […] le moindre changement aux États-Unis qui pourrait avoir un impact sur les droits des Européens en matière de protection de leurs données personnelles ».

Le Privacy Shield, un accord sous surveillance

L’adoption du Privacy Shield, né pour succéder à un accord du même type — le Safe Harbor, annulé par la justice européenne en 2015 — n’a pas mis fin aux réserves de plusieurs observateurs. Le G29, l’organe consultatif européen dédié à la protection des données, a notamment averti qu’il le surveillerait de près pendant sa première année d’application mais ne s’y opposerait pas formellement avant juillet 2017 au minimum, soit après la première évaluation du dispositif.

Les inquiétudes du G29 portent sur 3 points : la poursuite, par le gouvernement américain, de sa surveillance massive à l’égard des citoyens européens (en l’absence de mesures concrètes empêchant cette pratique), le manque de pouvoir réel du médiateur chargé de traiter les plaintes, et l’inutilité potentielle de l’évaluation annuelle.

À lire sur Numerama : AltNasa, AltEPA, AltCDC…  : contre la censure, la science américaine crée des comptes Twitter non officiels

Partager sur les réseaux sociaux