Le décret publié par Donald Trump sur l’immigration remettrait en cause la protection des données personnelles des utilisateurs européens de sites Internet américains. La Commission européenne affirme le contraire. Qu’en est-il réellement ?
Pour comprendre les implications d’une clause du fameux décret « d’amélioration de la sécurité publique au sein des États-Unis » – le décret « anti-immigration » -, il faut bien faire la différence entre deux textes aux noms similaires : le Privacy Shield et le Privacy Act.
Le Privacy Shiel est un accord entre les Etats-Unis et l’Union Européenne, entré en vigueur le 1er août 2016 après des longues négociations. De nombreuses sociétés américaines possèdent des sites Internet qui sont utilisés en Europe : les données personnelles des utilisateurs européens sont exportées aux États-Unis par ces sociétés, où elles relèvent, théoriquement, du droit américain, beaucoup moins regardant sur la protection de ces données.
Le Privacy Shield prévoit que toute donnée concernant un utilisateur européen bénéficie aux États-Unis des protections prévues par le droit européen, exactement comme si elle avait été collectée par une entreprise européenne.
Le Privacy Act, en revanche, est un texte américain, datant de 1974, et qui encadre l’utilisation par les agences fédérales des données personnelles des citoyens américains.
Quels textes le décret de Trump remet-il en cause ?
La quatorzième clause du décret promulguée par Trump précise : « Les agences [comme la NSA et le FBI] devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables. ». Il n’en fallait pas plus pour que le service de protection des données de l’UE accuse cette clause d’être une violation du Privacy Shield, réclamant, si le décret était appliqué, des sanctions contre les Etats-Unis.
La Commission Européenne a réagi en expliquant, rassurante, que le décret de Trump ne concerne qu’une loi américaine, le Privacy Act, et ne remet pas en cause le Privacy Shield. L’exclusion de la protection des données des « non-citoyens américains » ne concernerait donc en aucun cas les Européens, mais simplement les citoyens des autres pays.
Des textes liés ?
Mais la Commission Européenne elle-même affirmait en septembre 2015 que le Privacy Shield était « extension du cœur des garanties juridiques » du Privacy Act aux citoyens européens. La mise en place du Privacy Shield avait d’ailleurs été rendue possible par l’existence du Judicial Redress Act, une loi de 2014 qui étend directement les garanties du Privacy Act aux citoyens non-américains. Dès lors, le décret de Trump semble remettre en cause ce Judicial Redress Act, et donc, par contre-coup, le Privacy Shield.
La vigilance est de mise au niveau de l’Union Européenne, alors que 1 700 entreprises américaines, dont Google ou Facebook, avaient déjà pris l’engagement de respecter formellement les termes du Privacy Shield. Le décret de Trump remettra-t-il cet état de fait en cause ? Les semaines à venir devraient nous le dire…