Depuis le 1er août 2016, le « Privacy Shield » est entré en vigueur, après de longues négociations entre les Etats-Unis et l’Union européenne.
Cet accord, qui remplace l’accord « Safe Harbor », invalidé par la CJUE le 6 octobre 2015, a pour but de veiller à la protection du transfert des données à caractère personnel des citoyens européens vers les États-Unis. Pour que la protection des données soit effective, l’entreprise destinataire des données doit préalablement s’être inscrite sur un registre tenu par l’administration américaine. Aujourd’hui, de grandes entreprises, telles que Google, Facebook ou Microsoft ont adhéré à cet accord.
Le Privacy Shield serait-il aujourd’hui menacé par le décret « d’amélioration de la sécurité publique au sein des Etats-Unis » adopté par le nouveau Président américain, Donald Trump ?
La 14ème clause dudit décret prévoit que :
« les agences [telles que la NSA ou le FBI] devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables ».
Le député européen Jan Philipp Albrecht a fait part de ses craintes sur Twitter, soulignant que « si cela était confirmé, la Commission européenne devrait suspendre immédiatement le Privacy Shield et sanctionner les Etats-Unis pour violation de l’accord ».
Toutefois, la porte-parole de la Commission européenne a nuancé cette crainte. Elle a précisé que le Privacy Shield ne dépendait pas du Privacy Act de 1974, lequel encadre l’usage des données à caractère personnel des citoyens américains par les agences américaines, et non celles des citoyens non-américains par les entreprises américaines.
L’Union européenne a tout de même affirmé qu’elle se montrerait vigilante au « moindre changement aux États-Unis qui pourrait avoir un impact sur les droits des Européens en matière de protection de leurs données personnelles ».
Les entreprises adhérant au Privacy Shield et ne mettant pas en place d’autres systèmes de respect du droit des données à caractère personnel validés par la législation européenne (Déclarations CNIL et Binding Corporate Rules) devront donc être d’autant plus vigilantes quant aux évolutions de la position de la Commission Européenne sur la validité de ce « Bouclier de protection des données ».
