Sur le plan de la rigueur juridique, c’est pour le moins baroque, et ça devrait faire sursauter les rigoristes. Mais les CNIL européennes réunies dans le G29 ont décidé de faire preuve de pragmatisme, et tout à la fois de reconnaître que l’ensemble des transferts de données personnelles vers les États-Unis étaient illicites à l’heure actuelle, et d’offrir pourtant un nouveau répit aux géants du Web et aux autres entreprises qui collectent des données de citoyens européens.
Le groupe présentait mercredi au Parlement européen les fruits d’une longue étude menée par les CNIL pour vérifier la légalité des transferts de données opérés après l’annulation du Safe Harbor par la Cour de justice de l’Union européenne (CJUE). Il s’agissait de savoir si Facebook, Google, Twitter et beaucoup d’autres entreprises peuvent continuer à exploiter aux USA des données collectées en Europe. Or le G29 conclut que l’ensemble des procédures actuelles de transferts de données de l’Union européenne vers les États-Unis sont invalides.
« Même si nous reconnaissons les efforts faits en 2014 et 2015 par les États-Unis pour améliorer la protection des données des citoyens non-Américains, il y a toujours des inquiétudes sur le cadre juridique américain », a ainsi expliqué Isabelle Falque-Pierrotin, la présidente de la CNIL et du G29.
Le Privacy Shield ? Pour l’instant ce ne sont que des mots
Isabelle Falque-Pierrotin, présidente de la CNIL et du G29.
Néanmoins, l’accord dit de « Privacy Shield » (bouclier de la vie privée) annoncé mardi par la Commission européenne et par les États-Unis en remplacement du Safe Harbor pourrait changer la donne, et oblige en tout cas à un nouvel examen, qui pourrait prendre encore de nombreuses semaines. Or dans l’attente, « nous considérons qu’il est toujours possible d’utiliser les mécanismes existants de transferts [de données personnelles] ».
Sur l’accord lui-même, Mme Falque-Pierrotin s’est montrée réservée. Tout en saluant le fait que les négociateurs aient respecté l’ultimatum fixé, la présidente de la CNIL note que pour l’instant « ce sont encore des mots ». Le G29 demande à avoir les documents juridiques entre les mains d’ici la fin du mois de février.
Un socle de quatre garanties fondamentales
« Il faudra que l’on reçoive les documents formels sur cet accord, puisque ce sont encore des mots de la part de la Commission. Il faut que nous connaissions le contenu, et le caractère juridiquement contraignant de ces annonces, parce que pour l’instant on nous a dit que c’était un échange de courriers. Nous ne savons pas exactement ce que ça couvre », a-t-elle prévenu.
Au regard de la jurisprudence européenne examinée par le G29, le Privacy Shield devra apporter des garanties concernant les possibilités d’accès aux données personnelles des Européens aux États-Unis, en particulier par les services de renseignement :
1. Le traitement doit être basé sur des règles claires, précises et accessibles.
2. Il doit y avoir nécessité et proportionnalité dans l’accès aux données ;
3. Il doit y avoir un mécanisme de supervision indépendante ;
4. Il doit y avoir des remèdes efficaces ouverts aux individus pour défendre ses droits devant un organe indépendant.
Pour le moment, le G29 note que les garanties n’existent pas en droit américain concernant la proportionnalité des accès, et les remèdes offerts aux citoyens. Mais le prétendu « Privacy Shield » doit répondre au moins à cette seconde préoccupation, en offrant une voie de recours aux Européens qui contesteraient la légalité de l’exploitation de leurs données aux États-Unis. Reste à vérifier si les garanties juridiquement contraignantes sont effectivement apportées.
La question de savoir si les CNIL feront une analyse juridique sérieuse de l’accord ou prendront une nouvelle position politique pragmatique évitant un blocage reste donc entière. Une chose est sûre, le dossier du Safe Harbor est loin, très loin d’être refermé.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
