Le groupe G29, qui rassemble toutes les Cnil de l'Union européenne, a prévenu mardi qu'elle avait toujours des réserves face au Privacy Shield adopté ce mois-ci par la Commission européenne. Son statut juridique est plus que jamais fragile.

Le groupe de l’article 29 (G29), qui réunit les différentes Cnil de l’Union européenne, a publié mardi un communiqué pour faire état de sa position sur le Privacy Shield, définitivement adopté le 12 juillet dernier par la Commission européenne. L’accord qui encadre les possibilités d’exportation de données personnelles vers les États-Unis remplace l’ancien Safe Harbor que la Cour de justice de l’Union européenne (CJUE) avait décidé d’invalider en octobre 2015, parce que les protections apportées par le droit européen n’étaient pas assurées aux USA.

Le G29 avait critiqué le projet de Privacy Shield dans un avis du 13 avril 2016, en estimant que toutes les garanties n’étaient toujours pas apportées par la Commission et par les États-Unis, pour prétendre que les Américains apportent aux Européens une « protection équivalente » à celle du droit européen. Entre avril et juillet, les diplomates ont donc continué à affiner le texte en espérant aboutir à un accord qui ferait consensus, mais celui-ci reste critiqué, y compris par le G29.

Shield-Captain-America-Movie

Dans son communiqué, le groupe des autorités de protection des données européennes dit d’abord « saluer les améliorations apportées par le mécanisme du Privacy Shield comparé à la décision du Safe Harbor » annulée l’an dernier, et « félicite » les négociateurs pour avoir pris en compte ses remarques. Mais aussitôt, le G29 prévient que « plusieurs de ces inquiétudes demeurent  ».

Des réserves et une affirmation d’indépendance

Si elles réitèrent certaines réserves sur l’exploitation commerciale des données et le contrôle de l’utilisation faite par les sous-traitants, le groupe dénonce surtout le manque d’encadrement concernant les données accessibles aux services de renseignement. Il rappelle qu’à ses yeux, l’ombudsman (sorte de médiateur) créé par le gouvernement américain pour traiter des plaintes manque d’indépendance et de pouvoirs coercitifs, et qu’au delà des mots, aucune mesure concrète n’est prise pour s’assurer que des collectes massives et sans distinctions de données ne soient pas opérées.

Le groupe, qui avait déjà dit la nécessité de réviser le Privacy Shield dès 2018 après l’entrée en vigueur du nouveau Règlement européen de protection des données, prévient surtout qu’il ne se sent pas pieds et poings liés par la décision de la Commission européenne. Elle a beau prétendre que le Privacy Shield apporte une « protection équivalente » au droit européen, chaque Cnil nationale pourra faire sa propre évaluation, et un avis global du G29 sera réalisé chaque année.

L’épée de Damocles reste donc au dessus de la tête des utilisateurs du Privacy Shield, qui risquent à tout moment de voir les transferts de données suspendus, voire une nouvelle fois invalidés par la CJUE en cas de procédure judiciaire.

Partager sur les réseaux sociaux

Articles liés