Docu­men­ta­ti­on

Com­me rap­por­té ici la Com­mis­si­on euro­pé­en­ne a publié le 29 février 2016, 27 jours après l’an­non­ce de l’ac­cord poli­tique ent­re l’UE et les États-Unis, la docu­men­ta­ti­on rela­ti­ve au Pri­va­cy Shield UE-US. Cet­te docu­men­ta­ti­on com­prend notam­ment, par­mi d’aut­res docu­ments Prin­cipesLes règles de l’UE en matiè­re d’ai­des d’É­tat s’ap­pli­que­ront aux ent­re­pri­ses assu­jet­ties (> > > >). docu­ment for­ma­té), des enga­ge­ments du gou­ver­ne­ment amé­ri­cain (du Dépar­te­ment du com­mer­ce, du Secré­tai­re d’É­tat John Ker­ry, qui Com­mis­si­on fédé­ra­le du com­mer­ce (FTC), du Secré­tai­re d’É­tat aux trans­ports, du Direc­teur du rens­eig­ne­ment natio­nal et le Dépar­te­ment amé­ri­cain de la justi­ce (DOJ)) et le Pro­jet de décla­ra­ti­on d’a­dé­qua­ti­on (Ade­qua­cy Decis­i­on) de la Com­mis­si­on.

Mise en œuvre et admi­ni­stra­ti­on du pro­gram­me Pri­va­cy Shield

L’ad­mi­ni­stra­ti­on du Pri­va­cy Shield (PS) du côté amé­ri­cain est assu­rée par le Depart­ment of Com­mer­ce, qui sur­veil­lera ent­re aut­res le respect des prin­cipes par les ent­re­pri­ses assu­jet­ties (l’en­force­ment pro­pre­ment dit étant assu­ré par la FTC) et tien­dra à jour la liste des ent­re­pri­ses assu­jet­ties (“Pri­va­cy Shield List”). Pour ce fai­re, le dépar­te­ment pour­ra mener des enquêtes d’of­fice auprès des ent­re­pri­ses con­cer­nées. Des res­sour­ces adé­qua­tes ont été mises à dis­po­si­ti­on à cet effet.

En revan­che, com­me pour le cad­re de la sphè­re de sécu­ri­té, l’ap­pli­ca­ti­on de la loi incom­be à la Fede­ral Trade Com­mis­si­on, la FTC, qui a pro­mis de trai­ter en prio­ri­té les plain­tes des États mem­bres de l’UE. En cas de plain­te ou de sa pro­pre initia­ti­ve, la FTC peut mener des inve­sti­ga­ti­ons, ouvr­ir des enquêtes for­mel­les et four­nir une assi­stance admi­ni­stra­ti­ve. La FTC peut éga­le­ment pour­suiv­re les fausses décla­ra­ti­ons de con­for­mi­té au Pri­va­cy Shield si la FTC ou le Depart­ment of Com­mer­ce cons­tat­ent des vio­la­ti­ons à cet égard (un pro­blè­me qui s’est pro­duit plus sou­vent sous le régime du Safe Har­bor Frame­work ; la FTC avait trai­té 36 cas de ce type).

Dans la mesu­re où les allé­ga­ti­ons de vio­la­ti­ons de la pro­tec­tion des don­nées con­cer­nent le sec­teur des trans­ports (par ex. vio­la­ti­on des décla­ra­ti­ons de pro­tec­tion des don­nées par les com­pa­gnies aéri­en­nes), l’ap­pli­ca­ti­on de la loi relè­ve du Depart­ment of Trans­por­ta­ti­on. Son Avia­ti­on Enforce­ment Office a la com­pé­tence d’or­don­ner des mesu­res pré­ven­ti­ves et d’in­f­li­ger des sanc­tions (mais pas d’oc­troy­er des dom­mages et inté­rêts, à moins que l’entre­pri­se con­cer­née n’ac­cep­te des pai­ements de rem­pla­ce­ment dans le cad­re d’un accord).

Les “prin­cipes” du Pri­va­cy Shield

Le cœur du Pri­va­cy Shield est con­sti­tué par les Prin­cipes (et la décis­i­on d’a­dé­qua­ti­on de la Com­mis­si­on). Les Prin­cipes (voir à ce sujet l’an­ne­xe ci-des­sous) se com­po­sent d’un aper­çu, des “Prin­ci­ples” pro­pre­ment dits et des “Sup­ple­men­tal Prin­ci­ples”. Les prin­cipes eux-mêmes se sub­di­vi­sent en dis­po­si­ti­ons sur la trans­pa­rence (Noti­ce), un droit d’opt-out des per­son­nes con­cer­nées (Choice), des dis­po­si­ti­ons sur le trans­fert de don­nées de per­mis­si­on (Onward Trans­fer), des dis­po­si­ti­ons sur la sécu­ri­té des don­nées (Secu­ri­ty), des règles sur la pro­por­ti­on­na­li­té, la fina­li­té et la qua­li­té des don­nées (Data Inte­gri­ty and Pur­po­se Limi­ta­ti­on), des dis­po­si­ti­ons sur le droit d’ac­cès (Access) et des dis­po­si­ti­ons sur la pro­tec­tion juri­di­que (Recour­se, Enforce­ment and Lia­bi­li­ty). Un résu­mé du con­te­nu se trouve dans le Décis­i­on d’a­dé­qua­ti­on du draft.

Les prin­cipes com­plé­men­tai­res con­ti­en­nent des dis­po­si­ti­ons détail­lées sur les don­nées sen­si­bles, les pri­vilè­ges des médi­as, la responsa­bi­li­té des four­nis­seurs d’in­fras­truc­tu­re tels que les télé­coms ou les FAI, le trai­te­ment des don­nées par les socié­tés cotées, les ban­ques d’in­ve­stis­se­ment et les avo­cats, le rôle des auto­ri­tés de pro­tec­tion des don­nées (APD), l’au­to­cer­ti­fi­ca­ti­on et le con­trô­le de la cer­ti­fi­ca­ti­on, le droit d’ac­cès, les don­nées des employés, le trans­fert de don­nées (onward trans­fer), la pro­tec­tion juri­di­que, les infor­ma­ti­ons de voya­ge, les don­nées rela­ti­ves à la san­té, les don­nées publi­ques, l’ac­cès par les auto­ri­tés et d’aut­res points. Une anne­xe con­ti­ent éga­le­ment des dis­po­si­ti­ons rela­ti­ves à la pro­cé­du­re d’ar­bi­tra­ge ent­re les auto­ri­tés et les per­son­nes concernées.

Le pro­jet de décis­i­on d’a­dé­qua­ti­on con­ti­ent essen­ti­el­le­ment un résu­mé du Pri­va­cy Shield et la con­sta­ta­ti­on que ces règles con­dui­sent à une pro­tec­tion adé­qua­te des don­nées per­son­nel­les qui sont trans­fé­rées à des desti­na­tai­res aux Etats-Unis sous l’é­gide du Pri­va­cy Shield. L’A­de­qua­cy Fin­ding doit être réex­ami­né péri­odi­quement, com­me l’a­vait exi­gé la CJCE.

La que­sti­on des acti­vi­tés d’e­spion­na­ge en dehors des États-Unis

En ce qui con­cer­ne la sur­veil­lan­ce de mas­se, par­ti­cu­liè­re­ment dénon­cée par la CJCE dans l’ar­rêt Schrems, les docu­ments (notam­ment le Lett­re du Direc­tor of Natio­nal Intel­li­gence au US Depart­ment of Com­mer­ce et à la US Inter­na­tio­nal Trade Admi­ni­stra­ti­on) à une direc­ti­ve du pré­si­dent Oba­ma de jan­vier 2014 (Pre­si­den­ti­al Poli­cy Direc­ti­ve no. 28 – Signals Intel­li­gence Acti­vi­ties, PPD-28 (PDF)), qui a fixé des prin­cipes pour les acti­vi­tés d’écou­te. Ces prin­cipes, con­cré­ti­sés par des direc­ti­ves des ser­vices secrets (la “US Intel­li­gence Com­mu­ni­ty”), n’in­ter­di­sent nullement la sur­veil­lan­ce de mas­se (“bulk coll­ec­tion”) – au con­trai­re ; elle est même expli­ci­te­ment dési­gnée com­me un instru­ment néces­saire à la pro­tec­tion de la sécu­ri­té natio­na­le. La sur­veil­lan­ce et le stocka­ge des don­nées cor­re­spond­an­tes sont tou­te­fois légè­re­ment limi­tés, et l’uti­li­sa­ti­on des don­nées obte­nues par la sur­veil­lan­ce de mas­se est rest­rein­te à six objectifs :

the pur­po­ses of detec­ting and coun­tering : (1) espion­na­ge et aut­res men­aces et acti­vi­tés diri­gées par des puis­sances étran­gè­res ou leurs ser­vices de rens­eig­ne­ment cont­re les États-Unis et ses inté­rêts ; (2) men­aces cont­re les États-Unis et ses inté­rêts du fait du ter­ro­ris­me ; (3) men­aces cont­re les États-Unis et ses inté­rêts du fait du déve­lo­p­pe­ment, de la pos­ses­si­on, de la pro­li­fé­ra­ti­on ou de l’uti­li­sa­ti­on d’ar­mes de des­truc­tion mas­si­ve ; (4) men­aces en matiè­re de cyber­sé­cu­ri­té ; (5) men­aces cont­re les États-Unis et ses États mem­bres ; (6) men­aces cont­re les États-Unis et ses États membres.S. or allied Armed Forces or other U.S. or allied per­son­nel ; and (6) trans­na­tio­nal cri­mi­nal thre­ats, inclu­ding illi­cit finan­ce and sanc­tions eva­si­on rela­ted to the other pur­po­ses named in this section.

En aucun cas, les rens­eig­ne­ments signa­lé­ti­ques recu­eil­lis en vrac ne peu­vent être uti­li­sés pour : sup­p­ri­mer ou acca­bler la cri­tique ou la dis­si­dence ; désa­van­ta­ger des per­son­nes en fonc­tion de leur eth­nie, race, gen­re, ori­en­ta­ti­on sexu­el­le ou reli­gi­on ; pro­cu­rer un avan­ta­ge con­cur­ren­tiel aux ent­re­pri­ses amé­ri­cai­nes et aux sec­teurs d’ac­ti­vi­té amé­ri­cains sur le plan com­mer­cial ; ou réa­li­ser tout aut­re objec­tif que ceux iden­ti­fi­és dans la pré­sen­te section.

Le Direc­tor of Natio­nal Intel­li­gence souli­gne éga­le­ment que la sur­veil­lan­ce à l’étran­ger (for­eign intel­li­gence sur­veil­lan­ce) se limi­te à des cas ou des per­son­nes indi­vi­du­el­les. Elle est sur­veil­lée ent­re aut­res par le US Depart­ment of Justi­ce (DOJ) et l’Of­fice of the Direc­tor of Natio­nal Intel­li­gence (ODNI). Les sur­veil­lan­ces à l’étran­ger sont en out­re régies par un tri­bu­nal spé­cial, le US For­eign Intel­li­gence Sur­veil­lan­ce Courtà approu­ver.

La que­sti­on de la pro­tec­tion juridique

Le pre­mier recours des per­son­nes con­cer­nées est de dépo­ser une plain­te auprès de l’entre­pri­se amé­ri­cai­ne con­cer­née. Les plain­tes dev­rai­ent rece­voir une répon­se dans les 45 jours. En out­re, un ser­vice d’ar­bi­tra­ge alter­na­tif gra­tuit doit être mis en place.

En cas de vio­la­ti­on des règles du Pri­va­cy Shield, la FTC dis­po­se de pos­si­bi­li­tés d’ap­pli­ca­ti­on. Com­me le souli­gne la FTC, d’aut­res lois amé­ri­cai­nes assu­rent éga­le­ment une pro­tec­tion dans le domaine de la pro­tec­tion des don­nées. Par exemp­le, l’in­ter­dic­tion des “unfair or decep­ti­ve acts or prac­ti­ces” s’ap­pli­que lorsque les actes sont sus­cep­ti­bles d’a­voir un impact aux États-Unis ou lorsqu’ils ont lieu aux États-Unis.

La pro­tec­tion juri­di­que des non-Amé­ri­cains est éga­le­ment assu­rée par le Com­pu­ter Fraue and Abu­se Act, l’Elec­tro­nic Com­mu­ni­ca­ti­ons Pri­va­cy Act, le Right to Finan­cial Pri­va­cy Act et le Free­dom of Inform­na­ti­on Act. Dans le domaine de la sur­veil­lan­ce à l’étran­ger, les per­son­nes exté­ri­eu­res aux États-Unis sont libres de por­ter plain­te devant le tri­bu­nal FISA cont­re des mem­bres des auto­ri­tés amé­ri­cai­nes pour des acti­vi­tés de sur­veil­lan­ce illé­ga­les, et les vio­la­ti­ons inten­ti­on­nel­les sont punissables.

Le rôle de l’ombudsman

Sur le site Lett­re du Secré­tai­re d’É­tat, John Ker­ryLe rôle de l’om­buds­man (“média­teur”) y est notam­ment expli­qué. Cet­te fonc­tion est assu­rée par le “Seni­or Coor­di­na­tor for Inter­na­tio­nal Infor­ma­ti­on Tech­no­lo­gy Diplo­ma­cy”, rat­ta­ché au mini­stère des Affai­res étran­gè­res, actu­el­le­ment Cathe­ri­ne Novel­li. L’om­buds­man exami­ne les plain­tes qui relè­vent du domaine de la sécu­ri­té natio­na­le, les par­ti­cu­liers n’é­tant trans­mis à l’om­buds­man que par le biais d’u­ne instance euro­pé­en­ne – qui reste à désigner.

Le média­teur a pour mis­si­on d’en­quêter sur les plain­tes et d’in­for­mer l’or­ga­nis­me euro­pé­en qui les a dépo­sées que la légis­la­ti­on amé­ri­cai­ne cor­re­spond­an­te a été respec­tée ou que les vio­la­ti­ons ont été cor­ri­gées. En cas de vio­la­ti­on de la loi, les plain­tes doi­vent éga­le­ment être trans­mi­ses aux auto­ri­tés amé­ri­cai­nes com­pé­ten­tes. L’om­buds­man peut éga­le­ment sou­mett­re des plain­tes au Con­seil de sur­veil­lan­ce de la vie pri­vée et des liber­tés civi­les un orga­ne indé­pen­dant ayant une fonc­tion con­sul­ta­ti­ve. Out­re ces fonc­tions de com­mu­ni­ca­ti­on et de coor­di­na­ti­on, le média­teur n’a tou­te­fois aucu­ne compétence.

Pro­chai­nes étapes

La décis­i­on d’a­dé­qua­ti­on de la Com­mis­si­on n’est qu’u­ne ébau­che. Fin mars 2016, le grou­pe de tra­vail de l’ar­tic­le 29 dis­cu­te­ra du Pri­va­cy Shield lors d’u­ne réuni­on extra­or­di­naire. Les États mem­bres se pro­non­ce­ront éga­le­ment à ce sujet. Ensuite, la Com­mis­si­on pren­dra une décis­i­on fina­le. Ent­re-temps, les auto­ri­tés amé­ri­cai­nes se prépa­re­ront de leur côté à la mise en œuvre du Pri­va­cy Shield.

On peut sup­po­ser que la Sui­s­se sou­hai­te négo­cier le plus rapi­de­ment pos­si­ble un accord ana­lo­gue avec les Etats-Unis. Le PFPDT ad inte­rim s’est sur Twit­ter s’est expri­mé dans ce sens.

Prin­cipes du bou­clier de pro­tec­tion des données :