Cet accord était attendu impatiemment par la partie américaine pour remplacer le Safe Harbor (mécanisme permettant le transfert de données vers pas moins de 4.000 entreprises y ayant adhéré aux Etats-Unis) invalidé par l'arrêt Schrems rendu par la Cour de Justice de l'Union Européenne le 6 octobre 2015.

On apprécie à cette occasion les euphémismes: safe harbour pour port de refuge et privacy shield pour bouclier destiné à protéger les données privées. Il s'agit manifestement de tout le contraire: assurer aux autorités et aux entreprises américaines le droit unilatéral d'accéder aux données européennes, sous le couvert de garanties aléatoires dont les seules institutions américaines assureront le respect.

Les commissaires européens se félicitent d'avoir conclu un accord solide et plus protecteur des droits des citoyens européens que le Safe Harbor. Mais le projet est déjà fortement critiqué par ceux qui refusent de voir les agences de renseignement américaines pénétrer librement dans les données européennes.

Les principaux dispositifs sont les suivants:

· des garanties écrites et détaillées apportées par les Etats-Unis afin d'assurer que l'accès aux données des citoyens européens par les autorités publiques à des fins de sécurité nationale sera limité et contrôlé ;

· des engagements pris par les entreprises importatrices des données de respecter des obligations rigoureuses sur le traitement des données et le respect des droits des personnes concernées, sous la surveillance du "Départment of Commerce" ;

· la définition de plusieurs voies de recours pour les citoyens européens tant en Europe qu'aux Etats-Unis avec notamment une voie d'arbitrage possible en dernier recours  ;

· une clause de révision annuelle permettant de surveiller de près que ce dispositif est correctement mis en place ;

· des sanctions voire l'exclusion des entreprises importatrices de données du nouveau dispositif pourraient être appliquées à l'encontre des entreprises se trouvant en violation de leurs obligations.

Un projet de "décision d'adéquation" sera rédigé dans les prochaines semaines par la commissaire européenne et le vice-président Andrus Ansip, projet qui devra ensuite être adopté par le Collège. Pendant ce temps, les Etats-Unis sont tenus de prendre les actions nécessaires pour mettre en place rapidement ce nouveau dispositif.

Comme dans le projet de traité transatlantique dit TTIP, dont Privacy Shield est une transposition presque exacte, on constate que ce sont en dernier ressort les entreprises privées américaines qui décideront des mesures qui s'imposeront à leurs homologues européens. En cas de difficultés et de plaintes, ce seront les services américains qui décideront des suites à donner.

Dans les cas sensibles, c'est-à-dire ceux où l'intrusion des services de renseignements américains sera trop voyante pour passer inaperçue des européens, les dossiers seront transmis à un « médiateur » dont les pouvoirs n'ont pas été précisés. On devine ce que sera le poids de ce médiateur, à supposer qu'il ne soit pas désigné par la seule partie américaine.

Les agence de protection des données existant dans chacun des pays européen, telles la CNIL en France, ne pourront que « transmettre à Washington les plaintes éventuellement déposées auprès d'elles.

Le projet « Privacy Shield » est soutenu par l'eurogroupe parlementaire PPE (centre-droit), dont font partie Les Républicains français. La secrétaire américaine au Commerce, Penny Pritzker, se félicite pour sa part du projet d'accord, qui « va aider à la croissance de l'économie numérique ».

On peut se demander si Axelle Lemaire, Secrétaire d'État auprès du ministre de l'Économie, de l'Industrie et du Numérique, chargée du Numérique, est seulement informée de ce qui se prépare. De toutes façons, comme ni le gouvernement français ni le Parlement n'auront voie au chapitre...