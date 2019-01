Un rapport européen pointe les insuffisances de l'accord transatlantique sur les données personnelles.

Les Américains doivent faire davantage pour protéger convenablement les données personnelles de la population européenne qui sont transférées aux États-Unis. Voilà, en somme, l’opinion générale du Comité européen de la protection des données (CEPD), dont est membre la Commission nationale de l’informatique et des libertés (CNIL), au sujet du Privacy Shield.

Le CEPD, dont le rôle est de s’assurer du bon respect et de l’application cohérente du Règlement général sur la protection des données (RGPD), mais aussi « d’encourager la coopération » entre les autorités compétentes, a en effet bouclé le 22 janvier 2019 son deuxième examen annuel de ce dispositif transatlantique, adopté en juillet 2016 après l’invalidation d’un précédent mécanisme, le Safe Harbor.

Des efforts remarqués

Adopté pendant la sixième assemblée plénière du CEPD, qui s’est tenue les 22 et 23 janvier, ce rapport reconnaît les efforts qui ont été accomplis par les autorités américaines et la Commission européenne — les deux parties ayant négocié le Privacy Shield — pour rendre cet accord intercontinental plus conforme aux souhaits du Vieux Continent et lever plusieurs points de friction.

Ainsi, les 20 instances de protection des données personnelles de l’Union apprécient la nomination récente d’un ombudsperson permanent (celui-ci a un rôle de médiateur. Poste créé par le gouvernement américain, il doit traiter les plaintes liées au Privacy Shield), la publication de documents-clés, dont certains ont nécessité une déclassification, et la mise en place de diverses mesures de contrôle.

…mais des insuffisances qui demeurent

Mais le rapport évoque aussi des insuffisances qui continuent d’ennuyer les membres du CEPD. Certaines d’entre elles étaient déjà pointées du doigt il y a quelques années par l’ancêtre du CEPD, le G29. C’est le cas des garanties américaines qui doivent faire en sorte d’exclure la collecte et l’accès sans discrimination (c’est-à-dire sans ciblage justifié) aux données personnelles au nom de la sécurité nationale .

Le CEPD ajoute qu’il ne peut actuellement pas considérer que le médiateur est investi de pouvoirs suffisants pour remédier au non-respect des dispositions, et que les contrôles au sujet du respect des principes du Privacy Shield « ne sont pas suffisamment rigoureux ». D’autres points interpellent aussi le CEP, comme le processus de re-certification des entreprises, qui ne donne pas entière satisfaction.

Le CEPD regrette enfin que des questions posées lors de son premier examen annuel demeurent aujourd’hui sans réponse.

Outre les travaux du Comité européen de la protection des données, le Privacy Shield est soumis à un examen annuel de la part de la Commission européenne. Celui-ci a été validé à deux reprises par Bruxelles, en 2017 et en 2018. L’année dernière, les services de Jean-Claude Juncker ont estimé que le Privacy Shield offre un « niveau adéquat de protection », mais que des faiblesses demeurent.