AEDH

Privacy Shield – Un avenir incertain

This post is also available in: enEnglish (Anglais)

27 Juillet 2016 – Au mois d’octobre 2015, la Cour de Justice de l’Union européenne (CJUE) a invalidé le « Safe Harbour », l’accord entre les USA et l’UE concernant les échanges de données personnelles, car il ne garantissait pas suffisamment la protection des données transférées à partir des entreprises européennes vers les Etats-Unis. Or, cette condition est inscrite dans la législation de l’Union européenne.

En février 2016, la Commission Européenne et le département au commerce américain ont annoncé le successeur du Safe Harbour : le « Privacy Shield ». Les garanties concédées aux Européens étaient auparavant quasiment inexistantes, en particulier s’agissant des possibilités de recours et d’accès à un juge. Edward Snowden a montré par ses révélations à quel point la législation en vigueur aux États-Unis a offert à la NSA une vaste porte d’entrée sur ces données afin d’y chercher de précieuses informations.

Le vendredi 8 juillet 2016, le « Privacy Shield » (« bouclier de protection des données personnelles ») a été validé par le Conseil (les gouvernants des Etats membres de l’UE). Cet accord a pour but d’encadrer au mieux l’utilisation des données personnelles des européens aux Etats-Unis.

Ainsi, la Commission s’est exprimée à ce sujet dans un communiqué prétendant que : « pour la première fois, les Etats-Unis ont donné à l’Union européenne l’assurance écrite que l’accès des autorités aux données personnelles serait soumis à des limitations claires, des garde-fous et des mécanismes de contrôle, tout en écartant la surveillance de masse indiscriminée des données des Européens. »

Par rapport au Safe Harbor, le nouvel accord Privacy Shield comporte quelques améliorations. Dans un avis publié par le G29, groupe rassemblant les autorités de protection des données personnelles des pays membres de l’Union européenne, des progrès ont été apportés concernant :

– L’insertion de définitions clés

– Les mécanismes mis en place pour assurer le contrôle du respect des principes garantis par le Privacy Shield et notamment les audits de conformité internes et externes

Selon la présidente du G29, Isabelle Falque-Pierrotin, le « Privacy Shield » constitue un « grand pas en avant » par rapport au « Safe Harbour ».

Toutefois, le G29 a émis des réserves concernant la clarté du texte, car il se compose d’une grande variété de documents, ce qui rend l’analyse et l’interprétation délicate. Par ailleurs, si le niveau de protection a été amélioré par rapport au Safe Harbor, trop d’éléments sont de nature informelle, ce qui n’est pas acceptable selon le G29. De même, le volet commercial du Privacy Shield et l’accès par les autorités publiques aux données transférées sont préoccupants.

(En savoir plus sur l’avis du G29 et ses réserves : https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield)

De même, Max Schrems, le juriste à l’origine de l’invalidation du Safe Harbor, a déclaré que lorsque l’on étudie les documents du Privacy Shield, la surveillance de masse n’est clairement pas interdite. Selon lui, le Privacy Shield est « un échec total, maintenu simplement par la pression exercée par le gouvernement américain et certains acteurs de l’industrie », a-t-il déclaré suite à la conférence de presse du G29. Le G29 a également confirmé que la surveillance de masse est effectivement encore possible. Or, cela pose problème car cet aspect va à l’encontre de la protection des données personnelles.

L’adoption du Privacy Shield remet également en question le fonctionnement démocratique de l’UE. Début juillet, la Commission européenne a demandé aux Etats membres de se prononcer sur le Privacy Shield rapidement, mais sans fournir les documents nécessaires pour cela. Pourtant, le manque de transparence, de clarté et d’information, ainsi que le délai trop court posent problème. Ainsi, Mme Falque-Pierrotin a déploré la « complexité » du texte. « Il est difficile de comprendre tous les documents et les annexes. Il n’y a pas un seul document, mais plusieurs, ainsi que des annexes et des courriers. Certains se contredisent » a-t-elle expliqué. Le 23 juin, la Commission européenne a adressé aux Etats membres des annexes du Privacy Shield ou les observations concernant le manque de clarté seraient pris en compte, seulement, on est encore loin de l’idéal de transparence…

En effet, la Commission a récemment transféré un document d’environ 200 pages ou les marques des révisions ne sont même pas visibles. 150 pages décrivent la position américaine, tandis que la cinquantaine de page qui reste est relative à la décision d’adéquation bruxelloise. Non seulement aucune marque de révision ou de modifications n’est visible, mais le tout est également disponible uniquement en anglais. Ainsi, chaque Etat membre dispose d’un délai de 7 jours pour étudier et analyser le texte, afin de pouvoir voter ensuite à la majorité simple.

Même si les industries du numérique militaient pour l’adoption rapide du texte pour encadrer la protection des données personnelles, l’avenir du Privacy Shield est malgré tout incertain. Giovanni Buttarelli, le Contrôleur européen pour la protection des données a estimé fin mai que le Privacy Shield n’était « pas suffisamment robuste pour résister à un examen juridique par la CJUE ». Cela signifie que le Privacy Shield aura le même avenir que le Safe Harbor. Par conséquent, sonavenir est fragile puisque son adoption n’encadre pas suffisamment la protection des données personnelles : les droits fondamentaux restent donc bafoués.

Pour en savoir plus : L’EDPS a de même rédigé un rapport pour conseiller sur les améliorations à faire au Privacy Shield : https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-05-30_Privacy_Shield_EN.pdf http://www.lemonde.fr/pixels/article/2016/07/01/donnees-personnelles-un-accord-privacy-shield-tres-favorable-pour-les-etats-unis_4962245_4408996.html

En savoir plus sur l’invalidation du Safe Harbor : http://www.lemonde.fr/pixels/article/2015/10/06/safe-harbor-que-change-l-arret-de-la-justice-europeenne-sur-les-donnees-personnelles_4783686_4408996.html

En savoir plus sur les progrès du Privacy Shield : http://www.lemonde.fr/pixels/article/2016/04/13/accord-privacy-shield-les-cnil-europeennes-choisissent-le-compromis_4901451_4408996.html

Newsletter de l’EDPS, le Privacy Shield doit être plus robuste : https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Newsletters/Newsletter_48_EN.pdf

En savoir plus sur l’avis du G29 : http://larevue.squirepattonboggs.com/Attention-avis-du-G29-sur-le-Privacy-Shield_a2854.html

Les commentaire de nextinpact (en FR): https://www.nextinpact.com/news/100776-privacy-shield-inquietudes-g29-persistent-sans-consequence-immediate.htm

http://www.nextinpact.com/news/100608-donnees-personnelles-privacy-shield-eu-us-finalise-pret-a-etre-attaque.htm

Compte AEDH