Accord de l'Union européenne sur la protection des données personnelles

Question de M. CAMBON Christian (Val-de-Marne - Les Républicains) publiée le 15/09/2016

M. Christian Cambon attire l'attention de M. le ministre des affaires étrangères et du développement international au sujet de l'accord relatif à la protection des données personnelles.

Le 12 juillet 2016, la Commission européenne a adopté un nouveau bouclier de protection des données (« privacy shield »). Négocié pendant deux ans avec Washington, le « privacy shield » crée un nouveau cadre pour les échanges de données entre l'Union européenne et les États-Unis. Dans les faits, ce dispositif autorisera le transfert d'informations personnelles de l'Union européenne vers les entreprises établies aux États-Unis (centres de données).

Washington a d'ores et déjà fait savoir que l'accès aux données, par les services de renseignement américains, sera limité et contrôlé. Néanmoins, plusieurs critiques ont souligné les carences du « privacy shield ». En effet, le bureau européen des unions de consommateurs (BEUC) a déploré des manquements dans ce nouveau dispositif. Outre des mécanismes de recours jugés trop complexes, le BEUC doute de sa validation par la justice européenne.

Par ailleurs, plusieurs eurodéputés ont estimé que les collectes de données prévues dans le cadre du « privacy shield » n'étaient pas conformes.

Aussi, dans un contexte marqué par les scandales à répétition de surveillance des services de renseignement américains, il souhaite connaître les enjeux et les retombées de cet accord pour la France.

Publiée dans le JO Sénat du 15/09/2016 - page 3864

Transmise au Ministère des affaires étrangères et du développement international

Réponse du Ministère des affaires étrangères et du développement international publiée le 23/03/2017

Le nouveau dispositif « Bouclier vie privée » désigne un ensemble de principes établis par les autorités américaines, sur la base desquels les entreprises américaines s'auto-certifient, afin de pouvoir échanger des données personnelles entre entreprises européennes et américaines. Le cadre juridique, significativement renforcé, contient de nombreuses limitations, des mécanismes de supervision et de recours, protégeant des interférences illégales et des risques d'abus répondant, ainsi aux exigences de la CJUE. La nouvelle décision offre un cadre juridique plus protecteur pour les transferts transatlantiques de données personnelles : son champ d'application est précisé. Les voies de recours sont plus clairement énoncées et les autorités de contrôle européennes y sont associées ; ainsi les ressources du Médiateur ont été élargies et ses capacités d'action développées. L'accès aux données des autorités publiques, pour des raisons de sécurité nationale, et la collecte de masse des données personnelles sont précisés. La collecte de masse ne pourra avoir lieu que lorsque l'usage de discriminants n'est pas possible pour des raisons techniques et opérationnelles et devra être limitée à des « objectifs de renseignement étranger spécifiques ». Enfin, en matière de protection légale, l'encadrement des transferts ultérieurs à des États tiers est renforcé. Cette évolution du paysage juridique constitue un premier pas dans le rétablissement de la confiance transatlantique en matière de protection des données personnelles. Néanmoins, la mise en œuvre effective du « Bouclier vie privée » dépend désormais de la publication, par le procureur général américain, de la liste des États européens qui pourront, en cas de litige, bénéficier des mécanismes de voies de recours. Les autorités françaises veilleront à ce que la nouvelle administration américaine élabore cette liste dans les plus brefs délais. Même si certains points de l'accord auraient mérités d'être renforcés (sur la collecte de masse ou les transferts de données vers les pays tiers notamment), l'urgence était à l'adoption d'un cadre permettant la stabilité juridique des transferts de données garantissant un niveau élevé de protection alors que, selon les données recueillies par la Commission européenne, le volume des flux de données entre l'UE et les Etats-Unis est le premier au monde. Selon le secrétaire américain au Commerce, « les échanges commerciaux entre l'Europe et les États-Unis dépendant du transfert de données s'élevaient à 260 milliards de dollars ». L'absence d'un tel cadre juridique aurait été préjudiciable aux entreprises européennes, y compris aux entreprises françaises, en particulier, les petites et moyennes entreprises européennes n'ayant pas les moyens de mettre en oeuvre un cadre juridique alternatif robuste, puisqu'en l'absence de réelles offres alternatives européennes, les autres outils de transferts de données restent juridiquement fragiles. Alors que la société Digital Rights Ireland a formé, le 27 octobre 2016, un recours devant le Tribunal de l'Union européenne contre cette nouvelle décision d'exécution (essentiellement pour non-respect des articles 7, 8 et 47 de la Charte des droits fondamentaux de l'Union européenne), des améliorations au « Bouclier vie privée » pourront être recherchées à l'occasion de la révision annuelle qui permettra d'examiner les conditions de sa mise en œuvre et lors de la révision devant tenir compte, en 2018, de l'entrée en vigueur du règlement sur la protection des données.

Publiée dans le JO Sénat du 23/03/2017 - page 1186