Réponse publiée le 15 novembre 2016

Dans son étude consacrée au numérique et aux droits fondamentaux, le Conseil d'État propose de réformer le « Safe Harbor » en développant les contrôles par l'administration américaine ou des organismes accrédités par elle, en prévoyant un droit de regard des autorités européennes sur ces contrôles et en renforçant les obligations de fond (proposition no 44). La directive 95/46/CE du 24 octobre 1995 sur le traitement des données à caractère personnel prévoit que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat à ces données. À cet égard, la Commission européenne est habilitée, par cette directive, à constater qu'un pays tiers à l'Union européenne assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection « essentiellement équivalent » à celui garanti au sein de l'Union. C'est ainsi que par une décision 2000/520/CE du 26 juillet 2000, la Commission européenne avait considéré comme « adéquats » les principes de protection des données à caractère personnel du « Safe Harbor », élaborés par l'administration américaine et auxquelles peuvent adhérer des organisations (essentiellement des entreprises) qui souhaitent transférer des données à caractère personnel de l'Union européenne vers les États-Unis. Plus de 4 000 organisations s'appuyaient sur ce texte pour leurs transferts depuis l'Union européenne vers les États-Unis. Le Gouvernement n'est pas, de lui-même, en mesure de mettre en œuvre la proposition no 44 puisque seule la Commission européenne est compétente pour adopter une décision d'adéquation sur le fondement de l'article 25 de la directive 95/46/CE précitée. Par un arrêt du 6 octobre 2015, Maximillian Schrems (C-362/14), la Cour de justice de l'Union européenne a invalidé la décision d'adéquation du « Safe Harbor ». Des négociations se sont alors ouvertes entre la Commission européenne et la partie américaine pour tirer les conséquences de l'arrêt de la Cour. À cette occasion, le Gouvernement s'est attaché à ce que la Commission européenne veille au respect des droit des personnes concernées, tout en encourageant une conclusion rapide de l'accord compte tenu du nombre de transferts en jeu et des conséquences économiques de la disparition rétroactive de cette base légale pour le transfert. Finalement, la Commission européenne a adopté le 12 juillet 2016 une décision d'adéquation visant à reconnaître au mécanisme « EU-U.S. Privacy Shield » un niveau de protection « essentiellement équivalent » aux exigences européennes. Cette décision autorise de nouveau le transfert de données à caractère personnel de l'Union européenne vers les États-Unis en rendant plus sûrs les flux de données pour des milliers de personnes et les entreprises européennes et américaines. Le mécanisme du « Privacy Shield » repose sur un système d'autocertification des organisations qui doivent s'engager à respecter les règles prévues par l'accord. Selon la Cour de justice de l'Union européenne dans son arrêt Schrems, précité,  un mécanisme d'autocertification n'est pas en lui-même contraire à la directive 95/46/CE sous réserve qu'il s'accompagne de contrôles. À ce titre, la décision d'adéquation de la Commission européenne prévoit que l'administration américaine assurera la supervision du « Privacy Shield ». La décision précise également que si l'administration américaine n'est pas compétente pour mener des contrôles sur place, elle a néanmoins le pouvoir de contraindre les responsables de traitement à produire tout élément utile et peut avoir recours au juge en cas d'inexécution. Ainsi, les principes du « Safe Harbor », aujourd'hui invalidé, ont été renforcés et complétés dans le cadre de l'accord trouvé entre la Commission européenne et les États-Unis, afin de répondre aux critiques de la Cour : les voies de recours sont clarifiées, un droit d'accès est consacré, une obligation d'informer l'organisme lui transférant les données de ce qu'il n'est plus en mesure d'assurer un niveau de protection suffisant est créée à la charge des sous-traitants et une revue annuelle conjointe de l'accord est prévue. L'accord trouvé apparaît satisfaisant. La protection des droits fondamentaux des personnes concernées, particulièrement le droit à la protection des données et à la vie privée, est un engagement à long terme pour le gouvernement français. Comme les autorités françaises l'ont fait savoir dans le cadre des négociations, elles porteront une attention particulière à la mise en œuvre de la décision d'adéquation. A cet égard, la revue annuelle conjointe, prévue par l'accord, offre une opportunité particulière de maintenir un dialogue avec les autorités américaines, ce qui permettra d'identifier et de résoudre tout problème qui pourrait résulter de l'application de ce nouveau cadre.