En décembre 2014, nous vous indiquions que le Data Protection Umbrella Agreement était à surveiller. Et pour cause ! Entamées le 29 mars 2011, les négociations sur le Data Protection Umbrella Agreement ont finalement trouvé leur épilogue.

La Commission européenne et les États-Unis ont affirmé être parvenus à définir un cadre garantissant un « haut niveau » de protection des données personnelles des citoyens européennes transférées Outre-Atlantique et inversement en matière de coopération judiciaire (prévention, détection, recherche et poursuites judiciaires). Précisons d’ores et déjà qu’il ne s’agit pas d’autoriser le transfert à proprement parler mais de renforcer la protection des individus.

Quel est l’apport principal de l’Umbrella agreement pour les citoyens européens ?

Le texte reconnait aux citoyens européens un droit d’accès aux données personnelles les concernant avec, dans certains cas, des restrictions (sécurité nationale, nécessité de protéger les droits et libertés de tiers, etc.). A noter qu’il sera également possible d’obtenir la rectification des données personnelles.

Par ailleurs, les citoyens du Vieux Continent pourront faire valoir leurs droits devant les juridictions américaines.

Dès lors, l’entrée en vigueur de cet accord aura pour effet d’assurer aux citoyens européens que leurs droits relatifs à leurs données personnelles pourront être protégés par les juridictions américaines.

L’accord prévoit en effet que les citoyens européens puissent agir devant les juridictions américaines dans les deux hypothèses suivantes :

  • l’atteinte portée par les autorités américaines à leurs droits d’accès ou de rectification;
  • la divulgation illégale de leurs données personnelles.

Selon le Président de la Commission européenne, Jean-Claude Juncker, cette disposition est de nature à rétablir la confiance dans les relations transatlantiques après les différentes révélations impliquant les agences américaines. Nous nous interrogeons toutefois sur la saisine par les ressortissants européens des autorités américaines puisque cela nécessite des moyens financiers importants. Engager une action judiciaire est déjà une démarche à laquelle on pense à deux fois plutôt qu’une. Lorsqu’il s’agit de le faire outre-atlantique, cela paraît encore plus compliqué pour les citoyens.

Quelles sont les autres garanties consacrées ?

Plusieurs garanties sont consacrées par l’accord afin que les données personnelles des citoyens européens soient protégées dont la plupart existent déjà dans le cadre européen de protection.

Parmi celles-ci, sont à retenir :

  • la limitation du traitement des données personnelles au cadre de la prévention, de la détection, de la recherche et des poursuites judiciaires;
  • la nécessité d’obtenir le consentement préalable de l’autorité à l’origine du transfert pour toute communication ultérieure desdites données à un Etat non partie à l’accord;
  • la nécessité pour les autorités de prévoir une durée de conservation limitée des données personnelles en fonction de la finalité du traitement, de la nature des données notamment ainsi que de publier ces durées de conservations;
  • la création d’un mécanisme d’information mutuelle sur les violations de sécurité (perte ou destruction accidentelle des données, accès non autorisé aux données personnelles, etc.).

Ces garanties peuvent être regardées comme des avancées pour les citoyens européens. Toutefois, il est possible de s’interroger sur les moyens dont disposerons les citoyens européens pour savoir que les droits qui leur sont reconnus en matière de protection des données personnes n’ont pas été respectés.

A noter que la loi américaine devra être modifiée pour intégrer les droits reconnus aux citoyens européens avant que le texte soit adopté par le Parlement européen et le Conseil de l’Union européenne. Plusieurs étapes seront donc encore nécessaires avant l’entrée en vigueur de l’Umbrella Agreement.

 Quels sont les liens de l’Umbrella agreement avec d’autres projets en cours ?

Cet accord présente un lien étroit avec un autre projet en cours de négociations, le Passeport Name Record (PNR) dont l’objet est la création d’un registre comportant les données personnelles des passagers des compagnies aériennes.

Nous soulignions en 2014 que les députés européens manifestaient une réticence face à ce projet, exigeant des garanties supplémentaires en matière de protection de la vie privée et des données à caractère personnel.

L’Umbrella Agreement, par les garanties qu’il apporte, serait-il de nature à rassurer les députés européens ?

L’actualité à venir nous le dira certainement. Nous ne manquerons alors pas de vous en informer.