Safe Harbor 2 : l’UE veut un rapport des entreprises sur les requêtes US

Après l’invalidation du Safe Harbor, les négociations autour d’un nouvel accord transatlantique se poursuivent. Bruxelles veut obtenir des entreprises US un rapport sur les demandes fédérales américaines d’accès aux données de citoyens européens. Washington rechigne.

Pressée d’obtenir un nouveau cadre au transfert de données après l’invalidation du mécanisme Safe Harbor, la Commission européenne demande davantage de garanties aux États-Unis. Bruxelles veut le signalement par les entreprises américaines des demandes d’accès aux données de citoyens européens émanant des services de renseignement américains, rapporte le Wall Street Journal.

Comment en est-on arrivé là ? Considérant que le niveau adéquat de protection des données personnelles n’était pas assuré, la Cour de Justice de l’Union européenne (CJUE) a invalidé, le 6 octobre 2015, l’accord dit Safe Harbor du 26 juillet 2000. Plus de 4000 entreprises américaines qui y adhèrent, ainsi que les entreprises européennes qui leur transmettent des données, sont dans l’expectative. Même s’il existe des alternatives (clauses contractuelles types, règles internes d’entreprise ou BCR), la base légale des transferts de données vers les États-Unis doit être précisée dans le cadre d’un nouvel accord intergouvernemental.

Un « double contrôle »…

Les deux blocs ont déjà accepté la publication à venir d’un rapport annuel sur les demandes d’accès aux données de citoyens européens par les services fédéraux américains. L’Union européenne veut désormais obtenir « un double contrôle » opéré par les entreprises elles-mêmes. Et ce pour déterminer avec plus de précision le nombre et la fréquence des requêtes du renseignement américain. Mais des divergences perdurent. Washington accepterait l’idée d’un signalement sur une base volontaire uniquement, alors que Bruxelles veut le rendre obligatoire, a indiqué Vera Jourova, commissaire européenne chargée de la Justice, dans un entretien. La Commission souhaite aussi obtenir davantage d’informations « qualitatives » pour veiller à ce que l’accès des fédéraux soit « strictement nécessaire » et proportionné. Ces données qualitatives ne seraient pas rendues publiques pour ne pas compromettre le travail des services de renseignement, a indiqué la commissaire.

Volontaire ou obligatoire ?

Depuis le scandale des écoutes massives de la NSA (National Security Agency), Google, Twitter, Facebook et d’autres entreprises technologiques publient périodiquement des rapports sur les demandes d’information utilisateurs émanant de gouvernements et de leurs services de renseignement. Mais l’industrie IT américaine le fait volontairement et selon ses propres termes. Par ailleurs, pour les lettres de sécurité nationale (NSL) et les demandes formulées par l’administration américaine dans le cadre de la loi FISA (Foreign Intelligence Surveillance Act), les entreprises américaines peuvent uniquement fournir des fourchettes larges (de 0 à 999 demandes…).

Il y a urgence

Pour Vera Jourova, qui s’est aussi exprimée en faveur de la poursuite des réformes de la législation américaine visant à limiter la surveillance de masse, chaque partie comprend « l’urgence » d’un accord de « haut niveau ». Safe Harbor 2 devra répondre pleinement aux exigences de la CJUE, pour que le cadre résiste aux défis juridiques posés par les régulateurs en charge de la protection des données. Réunis au sein du groupe des CNIL européennes (G29), ces derniers attendent des autorités européennes et américaines une solution « satisfaisante » avant le 31 janvier 2016.

Lire aussi :

Safe Harbor : l’UE presse les Etats-Unis à négocier
Safe Harbor : l’ultimatum des CNIL européennes

crédit photo © Gts / Shutterstock.com