Documentation
Comme rapporté ici la Commission européenne a publié le 29 février 2016, 27 jours après l’annonce de l’accord politique entre l’UE et les États-Unis, la documentation relative au Privacy Shield UE-US. Cette documentation comprend notamment, parmi d’autres documents PrincipesLes règles de l’UE en matière d’aides d’État s’appliqueront aux entreprises assujetties (> > > >). document formaté), des engagements du gouvernement américain (du Département du commerce, du Secrétaire d’État John Kerry, qui Commission fédérale du commerce (FTC), du Secrétaire d’État aux transports, du Directeur du renseignement national et le Département américain de la justice (DOJ)) et le Projet de déclaration d’adéquation (Adequacy Decision) de la Commission.
Mise en œuvre et administration du programme Privacy Shield
L’administration du Privacy Shield (PS) du côté américain est assurée par le Department of Commerce, qui surveillera entre autres le respect des principes par les entreprises assujetties (l’enforcement proprement dit étant assuré par la FTC) et tiendra à jour la liste des entreprises assujetties (“Privacy Shield List”). Pour ce faire, le département pourra mener des enquêtes d’office auprès des entreprises concernées. Des ressources adéquates ont été mises à disposition à cet effet.
En revanche, comme pour le cadre de la sphère de sécurité, l’application de la loi incombe à la Federal Trade Commission, la FTC, qui a promis de traiter en priorité les plaintes des États membres de l’UE. En cas de plainte ou de sa propre initiative, la FTC peut mener des investigations, ouvrir des enquêtes formelles et fournir une assistance administrative. La FTC peut également poursuivre les fausses déclarations de conformité au Privacy Shield si la FTC ou le Department of Commerce constatent des violations à cet égard (un problème qui s’est produit plus souvent sous le régime du Safe Harbor Framework ; la FTC avait traité 36 cas de ce type).
Dans la mesure où les allégations de violations de la protection des données concernent le secteur des transports (par ex. violation des déclarations de protection des données par les compagnies aériennes), l’application de la loi relève du Department of Transportation. Son Aviation Enforcement Office a la compétence d’ordonner des mesures préventives et d’infliger des sanctions (mais pas d’octroyer des dommages et intérêts, à moins que l’entreprise concernée n’accepte des paiements de remplacement dans le cadre d’un accord).
Les “principes” du Privacy Shield
Le cœur du Privacy Shield est constitué par les Principes (et la décision d’adéquation de la Commission). Les Principes (voir à ce sujet l’annexe ci-dessous) se composent d’un aperçu, des “Principles” proprement dits et des “Supplemental Principles”. Les principes eux-mêmes se subdivisent en dispositions sur la transparence (Notice), un droit d’opt-out des personnes concernées (Choice), des dispositions sur le transfert de données de permission (Onward Transfer), des dispositions sur la sécurité des données (Security), des règles sur la proportionnalité, la finalité et la qualité des données (Data Integrity and Purpose Limitation), des dispositions sur le droit d’accès (Access) et des dispositions sur la protection juridique (Recourse, Enforcement and Liability). Un résumé du contenu se trouve dans le Décision d’adéquation du draft.
Les principes complémentaires contiennent des dispositions détaillées sur les données sensibles, les privilèges des médias, la responsabilité des fournisseurs d’infrastructure tels que les télécoms ou les FAI, le traitement des données par les sociétés cotées, les banques d’investissement et les avocats, le rôle des autorités de protection des données (APD), l’autocertification et le contrôle de la certification, le droit d’accès, les données des employés, le transfert de données (onward transfer), la protection juridique, les informations de voyage, les données relatives à la santé, les données publiques, l’accès par les autorités et d’autres points. Une annexe contient également des dispositions relatives à la procédure d’arbitrage entre les autorités et les personnes concernées.
Le projet de décision d’adéquation contient essentiellement un résumé du Privacy Shield et la constatation que ces règles conduisent à une protection adéquate des données personnelles qui sont transférées à des destinataires aux Etats-Unis sous l’égide du Privacy Shield. L’Adequacy Finding doit être réexaminé périodiquement, comme l’avait exigé la CJCE.
La question des activités d’espionnage en dehors des États-Unis
En ce qui concerne la surveillance de masse, particulièrement dénoncée par la CJCE dans l’arrêt Schrems, les documents (notamment le Lettre du Director of National Intelligence au US Department of Commerce et à la US International Trade Administration) à une directive du président Obama de janvier 2014 (Presidential Policy Directive no. 28 – Signals Intelligence Activities, PPD-28 (PDF)), qui a fixé des principes pour les activités d’écoute. Ces principes, concrétisés par des directives des services secrets (la “US Intelligence Community”), n’interdisent nullement la surveillance de masse (“bulk collection”) – au contraire ; elle est même explicitement désignée comme un instrument nécessaire à la protection de la sécurité nationale. La surveillance et le stockage des données correspondantes sont toutefois légèrement limités, et l’utilisation des données obtenues par la surveillance de masse est restreinte à six objectifs :
the purposes of detecting and countering : (1) espionnage et autres menaces et activités dirigées par des puissances étrangères ou leurs services de renseignement contre les États-Unis et ses intérêts ; (2) menaces contre les États-Unis et ses intérêts du fait du terrorisme ; (3) menaces contre les États-Unis et ses intérêts du fait du développement, de la possession, de la prolifération ou de l’utilisation d’armes de destruction massive ; (4) menaces en matière de cybersécurité ; (5) menaces contre les États-Unis et ses États membres ; (6) menaces contre les États-Unis et ses États membres.S. or allied Armed Forces or other U.S. or allied personnel ; and (6) transnational criminal threats, including illicit finance and sanctions evasion related to the other purposes named in this section.
En aucun cas, les renseignements signalétiques recueillis en vrac ne peuvent être utilisés pour : supprimer ou accabler la critique ou la dissidence ; désavantager des personnes en fonction de leur ethnie, race, genre, orientation sexuelle ou religion ; procurer un avantage concurrentiel aux entreprises américaines et aux secteurs d’activité américains sur le plan commercial ; ou réaliser tout autre objectif que ceux identifiés dans la présente section.
Le Director of National Intelligence souligne également que la surveillance à l’étranger (foreign intelligence surveillance) se limite à des cas ou des personnes individuelles. Elle est surveillée entre autres par le US Department of Justice (DOJ) et l’Office of the Director of National Intelligence (ODNI). Les surveillances à l’étranger sont en outre régies par un tribunal spécial, le US Foreign Intelligence Surveillance Courtà approuver.
La question de la protection juridique
Le premier recours des personnes concernées est de déposer une plainte auprès de l’entreprise américaine concernée. Les plaintes devraient recevoir une réponse dans les 45 jours. En outre, un service d’arbitrage alternatif gratuit doit être mis en place.
En cas de violation des règles du Privacy Shield, la FTC dispose de possibilités d’application. Comme le souligne la FTC, d’autres lois américaines assurent également une protection dans le domaine de la protection des données. Par exemple, l’interdiction des “unfair or deceptive acts or practices” s’applique lorsque les actes sont susceptibles d’avoir un impact aux États-Unis ou lorsqu’ils ont lieu aux États-Unis.
La protection juridique des non-Américains est également assurée par le Computer Fraue and Abuse Act, l’Electronic Communications Privacy Act, le Right to Financial Privacy Act et le Freedom of Informnation Act. Dans le domaine de la surveillance à l’étranger, les personnes extérieures aux États-Unis sont libres de porter plainte devant le tribunal FISA contre des membres des autorités américaines pour des activités de surveillance illégales, et les violations intentionnelles sont punissables.
Le rôle de l’ombudsman
Sur le site Lettre du Secrétaire d’État, John KerryLe rôle de l’ombudsman (“médiateur”) y est notamment expliqué. Cette fonction est assurée par le “Senior Coordinator for International Information Technology Diplomacy”, rattaché au ministère des Affaires étrangères, actuellement Catherine Novelli. L’ombudsman examine les plaintes qui relèvent du domaine de la sécurité nationale, les particuliers n’étant transmis à l’ombudsman que par le biais d’une instance européenne – qui reste à désigner.
Le médiateur a pour mission d’enquêter sur les plaintes et d’informer l’organisme européen qui les a déposées que la législation américaine correspondante a été respectée ou que les violations ont été corrigées. En cas de violation de la loi, les plaintes doivent également être transmises aux autorités américaines compétentes. L’ombudsman peut également soumettre des plaintes au Conseil de surveillance de la vie privée et des libertés civiles un organe indépendant ayant une fonction consultative. Outre ces fonctions de communication et de coordination, le médiateur n’a toutefois aucune compétence.
Prochaines étapes
La décision d’adéquation de la Commission n’est qu’une ébauche. Fin mars 2016, le groupe de travail de l’article 29 discutera du Privacy Shield lors d’une réunion extraordinaire. Les États membres se prononceront également à ce sujet. Ensuite, la Commission prendra une décision finale. Entre-temps, les autorités américaines se prépareront de leur côté à la mise en œuvre du Privacy Shield.
On peut supposer que la Suisse souhaite négocier le plus rapidement possible un accord analogue avec les Etats-Unis. Le PFPDT ad interim s’est sur Twitter s’est exprimé dans ce sens.