Privacy Shield : les États-Unis promettent de moins espionner l’Europe

Les États-Unis se disent prêts à limiter la collecte en vrac de données de citoyens européens dans le cadre du « Privacy Shield ». Cet accord post-Safe Harbor est actuellement examiné par les CNIL européennes (G29).

Pour promouvoir les garanties qu’apporterait l’accord « Privacy Shield » (bouclier de confidentialité, en français) conclu fin janvier avec la Commission européenne, les États-Unis se disent prêts à limiter la collecte en masse de données de citoyens européens, selon des documents auxquels Reuters a eu accès. Les données recueillies en vrac ne peuvent être utilisées qu’à des fins spécifiques, dont la lutte contre le terrorisme et la cybersécurité, aurait rappelé Robert Litt, avocat général de la Direction du renseignement américain (DNI), dans une lettre au Département américain du Commerce.

Or, prévenir l’utilisation « aveugle » et « arbitraire » de données transférées de l’Union européenne vers les États-Unis est une priorité de l’accord conclu entre Washington et Bruxelles. Et ce avant la date butoir imposée par le groupe des CNIL européennes (G29) en octobre dernier, après l’invalidation du Safe Harbor par la Cour européenne de justice de l’Union européenne (CJUE).

Ratification probable du Privacy Shield

Le « Privacy Shield » prévoit un mécanisme de résolution des différends ainsi que la nomination d’une médiatrice au sein du département d’État américain (à savoir la sous-secrétaire d’État à la croissance économique, Catherine Novelli). Elle s’intéressera à l’ensemble des transferts de données (y compris ceux qui ne sont pas couverts par l’accord). L’examen annuel conjoint de l’accord est également prévu. Parallèlement à ces dispositions, le Sénat américain a récemment validé une loi (Judicial Redress Act) autorisant les Européens contestant l’exploitation de leurs données outre-Atlantique à saisir la justice américaine. Une première qui a été saluée par Bruxelles.

Mais l’accord « Privacy Shield » est suspendu au verdict des CNIL européennes, qui examinent les fondements juridiques du texte. Le G29 devrait rendre sa décision au printemps 2016. En attendant, d’autres mécanismes encadrant les transferts de données UE-US (clauses contractuelles types et règles internes d’entreprise ou BCR) peuvent toujours être utilisés par les entreprises.

Lire aussi :

Le Privacy Shield ne convainc pas encore le G29

crédit photo © fredex / shutterstock.com