Privacy Shield : Un nouveau "bouclier" européen pour la protection des données, et maintenant ?

Les entreprises pourront commencer à s'enregistrer à partir du 1er août devant le département américain au commerce pour bénéficier de l'accord conclu entre l'UE et les Etats-Unis ce 12 juillet, et transférer librement les données entre les deux continents. Il lui faudra ensuite une quinzaine de jours pour évaluer ces demandes, explique un diplomate américain. Microsoft et Google ont déjà annoncé qu'ils allaient immédiatement déposer leur demande.

Dans le cadre du "privacy shield", le département au commerce s'est engagé à contrôler régulièrement que les entreprises respectent effectivement leurs obligations. En cas de re-transfert des données, les entreprises doivent s'assurer que les parties tiers "assure le même niveau de protection", explique la Commission européenne. Les données ne peuvent être stockées que pour la “durée du but pour lequel elles ont été collectées”, précise-t-elle.

Certitude juridique pour un temps

Les révisions annuelles de l'accord devraient se pencher entre autres sur la collecte automatique de données et le "profilage" qui ne sont pas couverts par l'accord, indique une source européenne. Du côté des entreprises numériques c'est le soulagement. "Le bouclier va nous donner davantage de sécurité juridique", escompte James Waterworth, vice président de la CCIA, association qui représente les intérêts des entreprises du net à Bruxelles et Washington.

L'accalmie n'est toutefois que temporaire. La cour irlandaise devrait porter à la fin du mois une nouvelle affaire devant la cour de justice européenne. En cause cette fois : la validité des "clauses contractuelles" qui permettent à Facebook de transférer des données depuis l'annulation du Safe Harbor, le prédécesseur du Privacy shield.

Quid des clauses contractuelles

La Commissaire européenne à la justice et affaires intérieures, Vera Jourova, assure que le Privacy shield inclue aussi les autres formes de "couverture juridique" dont les clauses contractuelles. Reste que si la cour européenne décide d'élargir la question qui lui a été posée, elle pourrait aussi mettre en cause ce type de clause en général. "Et là ce sont les transferts vers les centres de données en Inde ou en Chine qui seront questionnée", remarque un représentant du secteur.

Les engagements pris dans le Privacy Shield n'ont en outre pas du tout convaincu les organisations de défenses des droits civils sur internet, de Edri au Beuc, représentant à Bruxelles des organisations de consommateurs. Le "tombeur" du Safe Harbor, Max Schrems, n'a pas caché toutefois sa lassitude, lors d'une rencontre au parlement européen le 12 juillet à Bruxelles. Mais il espéré que d'autres reprendront son flambeau.