Le 28 février 2019 : c'est la nouvelle date limite imposée par la Commission européenne aux États-Unis pour désigner un médiateur permanent (‘Ombudsperson’) chargé de gérer les plaintes des Européens dont les données sont traitées par des entreprises américaines, dans le cadre du dispositif ‘Privacy Shield’.
Les résultats de la seconde évaluation (EUROPE 12120) de ce dispositif transatlantique de protection des données actif depuis 2016, publiés mercredi 19 décembre, confirment en effet que la plupart des recommandations émises lors de la première évaluation, en 2017 (EUROPE 11886), ont été mises en œuvre par les autorités américaines. Le seul aspect où aucun progrès tangible n’a été réalisé reste l’épineuse question de la nomination d’un médiateur permanent.
« Nous ne pouvons pas faire comme l'année dernière. Nous ne pouvons pas simplement demander à nouveau que les États-Unis mettent en œuvre l'engagement de nommer un médiateur permanent (...) C'est la raison pour laquelle nous avons fixé une date butoir précise cette année », a expliqué, devant la presse, la commissaire européenne à la Justice, Věra Jourová.
En mars 2017, la nouvelle administration Trump avait demandé à la Commission de faire preuve de patience en raison des nombreuses nominations par le Sénat qui devaient avoir lieu. « En mars 2017, je comprenais cela. En automne de la même année, je le comprenais moins. Et maintenant, je dois dire que ma patience atteint sa limite », a mis en garde la commissaire.
Plusieurs personnes ont déjà occupé le poste par intérim, la dernière en date étant Manisha Singh, désignée par le Département d’État le 28 septembre dernier. Le rapport d'évaluation souligne que, jusqu’ici, le médiateur n’aurait reçu aucune plainte, mais rappelle son importance pour le fonctionnement global du dispositif.
En cas de non-respect de ce délai, la Commission serait forcée de prendre certaines mesures prévues dans le ‘Privacy Shield’ lui-même, mais aussi dans le Règlement général sur la protection des données (GDPR), a prévenu Mme Jourová. La Commission pourrait ainsi envisager de modifier certaines dispositions relatives à l’accès des autorités publiques américaines aux données, a-t-elle précisé. Et d’ajouter : « dans le pire des scénarios, une suspension est également possible ».
Pour le reste, la Commission estime que les Américains ont tenu leurs promesses. Le ministère américain du Commerce a renforcé son contrôle proactif en mettant notamment en place un système de contrôle aléatoire des entreprises pour vérifier si elles se conforment bien au ‘Privacy Shield’. 100 entreprises ont d'ores et déjà été contrôlées, dont 21 avec des défaillances, qui ont été résolues.
Le ministère du Commerce a par ailleurs adressé 400 lettres d'avertissement à des entreprises, soupçonnées de ne pas se conformer au mécanisme ou d’avoir faussement indiqué qu’elles étaient certifiées au titre du ‘Privacy Shield’.
Par ailleurs, la Commission a reçu l’assurance de la Commission fédérale du commerce que son enquête sur le scandale ‘Facebook/Cambridge Analytica’ (EUROPE 12054) était en cours et restait une priorité.
Le mécanisme a aussi prouvé son attractivité. « Aujourd’hui, nous avons près de 4 000 entreprises certifiées, c’est plus que pendant les dix années d’application de son prédécesseur, le ‘Safe Harbor’ », s’est félicitée Věra Jourová. Les autorités américaines seraient actuellement en train d’examiner 1 000 demandes supplémentaires.
Un nouveau scandale 'Facebook'
Cette évaluation plutôt positive intervient après de nouvelles révélations du New York Times, mardi, sur les accords spéciaux passés entre Facebook, certifié au titre du ‘Privacy Shield’, et des partenaires comme Amazon, Spotify ou Microsoft, qui auraient pu avoir un accès plus intrusif aux données personnelles des utilisateurs.
Le moteur de recherche Bing aurait, par exemple, été autorisé à consulter le nom des 'amis' des utilisateurs sans leur consentement. Netflix et Spotify auraient en outre pu avoir accès à leurs messages privés.
Ces accords passés entre Facebook et quelque 150 partenaires entre 2010 et 2014, sont, pour certains d'entre eux, encore en vigueur, selon le New York Times, alors que le réseau social avait indiqué y avoir mis un terme (EUROPE 12035).
Facebook s’est défendu dans la foulée en expliquant que ces pratiques visaient à offrir aux utilisateurs des « expériences sociales supplémentaires ».
« Aucun de ces partenariats ou fonctionnalités n'a donné accès aux informations aux entreprises sans l'autorisation des personnes », a-t-il assuré. (Marion Fontana)