Comme expliqué dans un précédent article, le Groupe de l’article 29 s’est réuni le 15 octobre dernier afin de tirer les conséquences de l’arrêt rendu par la Cour de justice de l’Union européenne le 6 octobre 2015, invalidant la décision de la Commission européenne qui avait instauré la sphère de sécurité. Le G29 invitait les institutions européennes et les autorités américaines à trouver des solutions avant le 31 janvier 2016. A défaut, les autorités de protection expliquaient qu’elles pourraient être amenées à procéder à des actions répressives coordonnées.

Quels sont les prérequis pour une bonne renégociation du Safe Harbor ?

Dans ce contexte, la Commissaire en charge de la Justice, Věra Jourová, a expliqué lundi 26 octobre 2015 l’état actuel des négociations entre l’Union européenne et les Etats-Unis, à des parlementaires européens de la Commission des Libertés civiles.

La Commissaire a notamment insisté sur l’importance de ces négociations: « Compte tenu du fait que le Safe Harbor est l’un des principaux moyens de transfert de données provenant d’Europe vers les Etats-Unis, il est crucial de conclure des accords avec nos interlocuteurs américains sur un nouveau cadre pour les flux de données transatlantiques avec un meilleur niveau de protection. C’est essentiel pour les relations commerciales transatlantiques et pour nos citoyens ».

Afin de respecter les exigences de la Cour de Justice, la Commissaire explique que des précisions doivent être obtenues sur la décision et que celle-ci doit faire l’objet d’une interprétation uniforme. Dans ce contexte, la Commission devrait bientôt publier une note explicative des conséquences de la décision de la Cour de justice sur les transferts de données hors Union européenne. La Commissaire a toutefois précisé que cette note ne remplacerait pas le travail qui devra être effectué par les autorités de protection des Etats membres quant au renforcement et à l’application effective de la législation en matière de données à caractère personnel.

Où en sont les négociations sur le Safe Harbor ?

Par ailleurs, les discussions entre les Etats-Unis et l’Union européenne se poursuivront durant les prochaines semaines, Věra Jourová a d’ores et déjà prévu de se rendre à Washington mi-novembre.

« There is agreement on these matters in principle, but we are still discussing how to ensure that these commitments are binding enough to fully meet the requirements of the Court. » 

« Il y a un accord de principe sur ces sujets, mais nous sommes discutons encore de la manière de nous assurer que ces engagements sont suffisamment contraignants pour être en parfaite conformité avec les exigences de la Cour. »

Dans son discours aux parlementaires, Věra Jourová nous renseigne sur les avancées des négociations. Il est ainsi rappelé que la Cour n’a pas demandé un cadre de protection des données à caractère personnel identique mais un système de protection globalement équivalent.

Les Etats-Unis se seraient également engagés à garantir un contrôle du respect du Safe Harbor par les entreprises américaines, contrôle qui serait réalisé par le Département au Commerce. Pour rappel, jusqu’à la décision de la Cour de justice, les entreprises américaines procédaient seulement à une déclaration de conformité au Safe Harbor… A ce titre, de nouvelles sanctions devraient apparaître pour les entreprises américaines ne respectant pas le futur cadre de protection des données personnelles des citoyens européens.

En outre, une coopération renforcée avec les autorités de protection de l’Union devrait être mise en oeuvre avec la Federal Trade Commission (FTC) qui comprendrait notamment une priorité de traitement des plaintes relatives au traitement des données à caractère personnel.

Le rôle des autorités de protection des données de l’Union serait renforcé, à commencer par la révision du système de transfert de données personnelles vers les Etats-Unis ainsi que le mécanisme de révision annuelle et de mise à jour du Safe Harbor qui sera mis en place.

De nouvelles limitations et garanties sont prévues afin d’empêcher l’accès ou l’utilisation généralisé(e) des données personnelles et pour assurer un contrôle judiciaire suffisant de ces activités (au vu de la récente loi française sur le renseignement, nous ne pouvons nous empêcher de trouver cette dernière exigence de l’Union européenne assez paradoxale).

La Commissaire rappelle enfin que les Etats-Unis ont entamé un processus de révision de leur législation nationale quant aux activités de leurs agences de renseignement. Dans ce cadre, certains garanties initialement réservées aux citoyens américains ont été étendues aux ressortissants de l’Union européenne, notamment en terme de durée de conservation des données.

Nous verrons dans les prochaines semaines si ces négociations mènent à des mesures juridiques et techniques effectives. Nous ne manquerons pas de vous tenir informés.