L’impact des décrets « anti-immigration » de Donald Trump sur le Privacy Shield

Peu de temps après son entrée en vigueur, le Privacy Shield entre l’Union Européenne (UE) et les Etats-Unis protégeant le transfert des données outre-Atlantique, qui avait déjà fait l’objet de réserves lors de son adoption quant à son efficacité, serait-il déjà mis en péril ?

Karla Gowlett

Joseph Smallhoover, associé du cabinet Bryan Cave

Le 25 janvier 2017, Donald Trump a signé le décret présidentiel n° 13768 intitulé « Améliorer la sécurité publique à l’intérieur des Etats-Unis», permettant d’expulser des étrangers en situation irrégulière sur le territoire américain. La clause 14 du décret prévoit que les agences gouvernementales américaines doivent veiller à ce que leurs politiques de protection de la vie privée excluent les personnes non-américaines du bénéfice de la loi sur la protection des renseignements personnels (Privacy Act). Ce décret présidentiel pose question quant à son éventuel impact sur le Privacy Shield.

Il est à noter que le décret n°13768 n’a pas été mis en cause par l’injonction (Temporary Restraining Order du 3 février 2017) confirmée par une Cour d’Appel fédérale de San Francisco qui concernait l’autre « décret anti-immigration » du Président Trump (Executive Order 13769).

Rappel sur le Privacy Shield

Le Privacy Shield a été mis en place en juillet 2016 entre l’UE et les Etats-Unis en remplacement du « Safe Harbor », et permet aux entreprises de transférer les données personnelles de citoyens européens vers les Etats-Unis.

Le Judicial Redress Act du 24 février 2016 permet quant à lui aux Européens de saisir les tribunaux américains pour demander réparation en cas de manquement.

Quel impact du décret n°13768 sur le Privacy Shield et la protection des données ?

Le décret n°13768 exclut les personnes non-américaines du bénéfice de la protection du Privacy Act. Un eurodéputé a dénoncé ce qui constitue selon lui une violation de l’accord-cadre entre l’UE et les Etats-Unis sur la protection des données du 2 juin 2016, donnant lieu à des inquiétudes sur l’incidence des dispositions du décret américain sur le Privacy Shield.

Cependant, ainsi que l’a relevé la Commission européenne, le Privacy Shield ne repose pas sur le Privacy Act, qui concerne les données détenues par le gouvernement fédéral américain, et non pas par les sociétés privées. Il ne devrait donc pas y avoir d’impact direct concernant le Privacy Shield, et les entreprises peuvent continuer à utiliser ce dispositif pour transférer des données vers les Etats-Unis. La Commission européenne déclare à raison tout de même surveiller la mise en œuvre du décret et tout impact éventuel sur la protection européenne des données.

En ce qui concerne l’accord-cadre et le Judicial Redress Act faisant bénéficier les Européens de la protection du Privacy Act, le décret prévoit une réserve en disposant que cette exclusion des personnes non-américaines de la protection du Privacy Act est valable dans la mesure où cela est compatible avec la loi. Or, cette exclusion semble être incompatible avec le Judicial Redress Act qui prévoit la protection des données des citoyens de l’UE en vertu du Privacy Act ; cette protection devrait donc demeurer intacte. Mais une fois encore, la Commission européenne indique surveiller l’évolution de la situation.

Par ailleurs, M. Ajit Pai, récemment nommé par le Président Trump à la tête de la Federal Communications Commission, a commencé à modifier la réglementation sur la « neutralité du Net » (« net neutrality »), principe qui garantissait à tous un accès aux mêmes contenus sur Internet. Cela pose question sur l’utilisation qui sera faite des données personnelles des usagers pour sélectionner le contenu web qui leur sera fourni dorénavant, pouvant exclure de manière discrétionnaire certains contenus.

A l’instar de la Commission européenne, il conviendra de mettre en place une veille sur l’évolution aux Etats-Unis du sort de la protection des données personnelles face à tant de facteurs d’incertitude.