Mercredi, les CNIL européennes réunies au sein du groupe G29 ont fait savoir que le Privacy Shield négocié entre la Commission européenne et les États-Unis pour remplacer le Safe Harbor n’apporte pas les garanties suffisantes exigées par le droit européen en matière de protection des données personnelles.

On prend les mêmes, et on recommence. Deux mois après une première conférence de presse dans laquelle il a mis en pause l’ultimatum imposé à la Commission européenne et aux États-Unis pour trouver une solution de remplacement au cadre de transfert des données personnelles d’Européens vers les USA, le groupe G29 qui réunit les CNIL européennes a de nouveau jugé urgent d’attendre, ce mercredi 13 avril 2016. L’ultimatum initial avait été fixé au 31 janvier 2016.

La conférence de ce mercredi était organisée à la mi-journée à Bruxelles pour rendre compte des travaux du G29 concernant l’analyse juridique du « Privacy Shield », du nom du projet d’accord UE / USA censé remplacer le précédent « Safe Harbor » de 2000, invalidé par le Cour de justice de l’Union européenne (CJUE) dans son arrêt Schrems du 6 octobre 2015.

Isabelle Falque-Pierrotin, présidente de la CNIL et du G29, le 13 avril 2016.

Isabelle Falque-Pierrotin, présidente de la CNIL et du G29, le 13 avril 2016.

La Commission européenne avait publié en février dernier son projet de « décision d’adéquation » (.pdf) pour faire entrer le Privacy Shield dans l’ordre juridique européen. En vertu de la directive sur la protection des données adoptée en 1995, le document doit autoriser l’emploi du Privacy Shield par les entreprises qui souhaitent transférer facilement des données vers les États-Unis, en présumant que le cadre établi offre aux données et à leurs titulaires une protection équivalente à celle dont bénéficie les Européens chez eux.

Mais les CNIL européennes qui doivent diffuser leur position commune dans la journée ne donneront pas leur satisfecit (mise à jour : les documents ont été publiés, ici et ).

Pas acceptable en l’état

« Notre première réaction était très positive à l’égard du Privacy Shield », a commenté mercredi Isabelle Falque-Pierrotin, qui préside la CNIL et le G29. Cependant, « il reste quelques points qui constituent des inquiétudes ou qui demandent des clarifications ». Les seules assurances supplémentaires données par Washington l’ont été dans un cadre informel, insuffisant pour apporter des garanties aux Européens.

Tout en soulignant que le Privacy Shield apportait « des améliorations importantes par rapport au Safe Harbor » que la CJUE avait jugé trop peu protecteur, les régulateurs européens estiment qu’il reste des obstacles à son feu vert, qui n’est cependant pas obligatoire.

L’accord est jugé imprécis sur un certain nombre de points et de définitions de notions clés, et les recours dont pourraient enfin bénéficier les citoyens européens dont les données sont exploitées abusivement aux USA sont jugés trop complexes à mettre en œuvre. L’indépendance de « l’ombudsman » (le médiateur) prévu par l’administration Obama est par ailleurs mise en doute.

Toujours des possibilités larges de collecte massive

L’accord prévoit aussi six domaines d’exceptions permettant aux autorités américaines de collecter des données en masse pour les traiter, notamment dans le cadre de la lutte contre le terrorisme ou de la protection des intérêts économiques américains, ce qui est jugé trop vaste par le G29. Les exceptions prévues ne sont pas suffisamment détaillées et encadrées pour être acceptables.

Enfin, l’accord est fondé sur un niveau de protection équivalente au cadre actuel du droit européen, mais celui-ci doit bientôt se renforcer grâce à un nouveau cadre juridique censé entrer en vigueur d’ici deux ans. Le Privacy Shield serait donc à peine adopté qu’il risquerait d’être aussitôt périmé, quand bien même serait-il jugé valide aujourd’hui.

[floating-quote float= »right »]La balle est désormais dans le camp de la Commission européenne[/quote]

En conclusion, « étant données les réserves émises, nous pensons qu’il reste du travail à faire, et nous pressons la Commission de prendre en compte ces inquiétudes pour améliorer le projet de mécanisme d’adéquation, et de s’assurer qu’il est effectivement équivalent à la protection de l’Union européenne », demande le groupe.

La balle est désormais dans le camp de la Commission européenne, qui doit en principe adopter sa décision finale sur le Privacy Shield dans le courant du mois de juin. Il est toutefois possible que celle-ci soit repoussée jusqu’en septembre. Si elle venait à ignorer l’avis du G29, la Commission prendrait le risque de voir à nouveau sa décision invalidée par la CJUE, au terme d’un combat judiciaire qui pourrait toutefois prendre plusieurs années.

En attendant, l’ensemble des autres mécanismes utilisés par les entreprises pour exporter des données vers les USA restent utilisables, malgré « l’incertitude juridique » admise par Mme Falque-Pierrotin. Le G29 a décidé de ne rien décider concernant la légalité des BCR (règles internes d’entreprises) ou des clauses contractuelles types que les organisations utilisent en alternative au Safe Harbor, alors que leur illégalité est presque toute aussi certaine. « Rien ne change », a indiqué la présidente de la CNIL.

Cette semaine, le Privacy Shield avait reçu le soutien de Microsoft, à travers un billet de blog signé par le vice-président aux affaires gouvernementales européennes, John Frank. En revanche, en France le Syndicat de la Magistrature a appelé à son rejet. « S’il était signé en l’état, ce projet saborderait la protection des droits fondamentaux à la protection des données et à la vie privée exigée par la Cour de justice », a jugé le syndicat, dans un communiqué signé par tout l’Observatoire des Libertés et du numérique.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.