Le 12 juillet 2016, la Commission européenne a adopté une décision d’adéquation visant à reconnaître au « Privacy Shield » un niveau de protection « essentiellement équivalent » aux exigences européennes.

Le « Privacy Shield », négocié pendant de longs mois entre les Etats-Unis et la Commission européenne, remplace désormais, le « Safe Harbour » qui avait été invalidé par la Cour de Justice de l’Union européenne (CJUE) par une décision en date du 6 octobre 2015.

Néanmoins, bien que la Commission européenne assure dans son communiqué de presse que « le Privacy Shield reflète les exigences de la Cour de Justice mentionnées dans sa décision du 6 octobre 2015 », ce nouveau cadre juridique semble déjà menacé.

En effet, à ce stade, rien n’indique que les pratiques de surveillance sur Internet menées par les services de renseignements américains aient significativement évolué, ni que lesdits services aient tenu compte des exigences mentionnées dans la décision de la CJUE.

Le « Privacy Shield » prévoit que les États-Unis peuvent surveiller les données des Européens dans les affaires de « sécurité nationale » ou en cas de mise en cause de « l’intérêt public ». Ces notions étant par nature très floues, il semble que les Etats-Unis disposent toujours d’une marge de manœuvre étendue.

Le 25 juillet 2016, le G29, qui regroupe l’ensemble des autorités de protection de la vie privée en Europe (dont la CNIL), a publié son analyse sur l’accord « Privacy Shield ».

Bien que le groupe considère que le « Privacy Shield », tel qu’adopté, présente des avancées sur certains points jugés peu clairs dans sa version précédente, le G29 déplore néanmoins la faiblesse de certaines dispositions, notamment en ce qui concerne les services de surveillance américains.

En effet le G29 estime que les Etats-Unis ne fournissent pas suffisamment de détails sur la manière dont ils entendent limiter leurs pratiques de surveillance afin d’éviter que celles-ci ne soient excessives.

Le groupe critique également l’une des dispositions-clé du « Privacy Shield », qui prévoit la faculté pour tout citoyen européen de demander réparation, auprès des tribunaux américains, en cas d’utilisation abusive de données le concernant.

Le G29 souligne qu’« en pratique, ce nouveau mécanisme pourrait s’avérer trop complexe à utiliser pour des citoyens européens, notamment lorsqu’ils ne sont pas anglophones, et donc s’avérer inefficace ». Pour pallier cet obstacle, le G29 recommande que les autorités de protection de la vie privée nationales puissent servir d’intermédiaire dans le cadre de ces procédures.

Enfin, si le G29 considère que l’instauration d’un médiateur américain chargé de traiter les plaintes des citoyens européens constitue « une avancée significative pour les droits individuels face aux services de renseignement américains », il met en cause le défaut d’indépendance de cette nouvelle institution et estime qu’elle « ne dispose pas des pouvoirs lui permettant d’accomplir sa mission ».

Dans ces circonstances, il ne peut être exclu que, dans les mois à venir, le « Privacy Shield » subisse le même sort que le « Safe Harbour » et soit in fine invalidé.

Mots-clés : Juris Initiative – Anne-Solène Gay – Behring – Privacy Shield – Safe Harbour – Décision d’adéquation – 12 juillet 2016 – G29 – 25 juillet 2016