Les députés européens appellent à suspendre le Privacy Shield
Les députés européens accusent les États-Unis de ne pas respecter les principes de l’accord. Le récent CLOUD Act les a poussé à réagir fermement. En l’absence de corrections d’ici septembre, improbables avec l’administration Trump, les transferts transatlantiques de données depuis l’Europe seront suspendus sine die.
La majorité des parlementaires européens a voté pour la suspension du Privacy Shield si les États-Unis ne s’y conforment pas pleinement d’ici le 1er septembre 2018. Le Privacy Shield fixe le cadre légal qui conditionne les transferts de données privées depuis l’Union Européenne vers les États-Unis.
Le Privacy Shield n’assure pas une protection suffisante des données pour les citoyens de l’UE, ont décidé les députés européens lors du vote hier d’une résolution qui est passée à 303 voix pour et 223 contre.
Les députés ont ajouté que le scandale Facebook-Cambridge Analytica sur l’exploitation des données avait souligné la nécessité d’un meilleur suivi de l’accord — les deux sociétés étaient en effet certifiées dans le cadre du Privacy Shield.
Les députés ont appelé les autorités américaines à donner suite, sans délai, aux révélations de ce type et, si nécessaire, à retirer de la liste Privacy Shield les entreprises qui ont fait un usage abusif avéré de données à caractère personnel.
Les députés ont souligné que les Européens devraient également enquêter sur de telles affaires et, le cas échéant, suspendre ou interdire eux-mêmes les transferts de données vers les États-Unis.
Les représentants du Vieux Continent s’inquiètent également de l’adoption de la loi « Clarifying Lawful Overseas Use of Data » ou Cloud Act, qui accorde à la police et aux agences américaines l’accès à des données personnelles stockées par des prestataires américains, partout sur la planète.
Pour eux, la nouvelle loi américaine aura de lourdes implications pour l’Union Européenne et pourrait entrer en conflit avec les lois locales sur la protection des données.
En demandant la suspension de l’accord en juin, les députés avaient montré leur inquiétude quant au fait que les autorités américaines n’adhéraient pas pleinement aux termes de l’accord et que l’administration américaine, sous la présidence de Donald Trump, réduisait les mesures de protection de la vie privée et renforçait la surveillance par le biais de décrets exécutifs.
Le Président et rapporteur de la Commission des libertés civiles, de la justice et des affaires intérieures, Claude Moraes, a déclaré que la résolution adoptée hier dans la foulée de la proposition de juin indique clairement que le Privacy Shield sous sa forme actuelle n’offre pas le niveau de protection adéquat requis par la Charte européenne et par sa législation en matière de protection des données. « Des progrès ont été réalisés pour améliorer l’accord [...] mais ce n’est pas suffisant pour garantir la sécurité juridique requise pour le transfert de données à caractère personnel », a-t-il souligné.
« La loi est claire. Comme le stipule le GDPR, si l’accord n’est pas adéquat et si les autorités américaines ne respectent pas ses termes, l’accord doit être suspendu jusqu’à ce qu’elles s’y conforment », a-t-il ajouté.
Le Privacy Shield, approuvé en juillet 2016, est un accord entre les États-Unis et l’Union Européenne qui permet à certaines entreprises américaines — celles considérées comme assurant un niveau adéquat de protection des données — de transférer des données personnelles qu’elles traitent de l’Europe vers les États-Unis.
Le Privacy Shield a succédé au Safe Harbour, entré en vigueur en 2000, et qui avait été déclaré invalide par la Cour de justice de l’Union européenne (CJUE) en octobre 2015 au motif — déjà — qu’il n’était pas assez strict en matière de protection des données pour les citoyens de l’UE.
Les premiers appels à la suspension du Privacy Shield datent d’un peu plus d’un an. Des députés européens avaient alors demandé à la Commission de réévaluer le cadre du Privacy Shield en raison des inquiétudes suscitées par la fragilisation et le recul des mesures de protection de la vie privée aux États-Unis voulus par l’administration Trump.
Pour approfondir sur Réglementations et Souveraineté
-
Data Privacy Framework : les DPO français mitigés sur un cadre « stable », mais très « fragile »
-
Data privacy Framework : un accord qui passe difficilement en Europe
-
Nouvelles CCT de la Commission européenne : les DPO n’y trouvent pas leur compte
-
Union européenne : l’EDPS enquête sur l’utilisation des clouds américains