La Commission européenne vient de boucler son troisième contrôle annuel du Privacy Shield, qui gère le transfert des données personnelles des internautes européens vers les États-Unis. Le dispositif lui paraît toujours satisfaisant. Elle note même plusieurs points d'amélioration.

Il faut croire que l’avertissement de l’Union européenne a payé. Mercredi 23 octobre, la Commission européenne a salué les progrès significatifs obtenus dans le cadre du Privacy Shield. En particulier, Bruxelles constate avec satisfaction que Washington a enfin nommé un médiateur permanent. Il s’agissait d’un point de friction entre les deux parties : côté européen, on se disait même prêt à suspendre temporairement le Privacy Shield le temps que les États-Unis remplissent leurs obligations.

Mais de quoi parle-t-on ? Le Privacy Shield (ou bouclier de protection des données) est un mécanisme transatlantique qui organise et encadre le transfert des données personnelles des internautes européens vers les États-Unis. Ce dispositif a été adopté en juillet 2016 pour succéder au précédent mécanisme, le Safe Harbor. En effet, celui-ci a été invalidé fin 2015 par la Cour de justice de l’Union européenne, car les États-Unis ne garantissaient pas le même niveau de protection que sur le Vieux Continent.

Contrôles annuels

Pour ne plus reproduire les erreurs du Safe Harbor, la Commission s’est engagée à contrôler annuellement le Privacy Shield, afin de « s’assurer qu’il continue de garantir un niveau de protection adéquat des données à caractère personnel ». Deux examens ont d’ores et déjà eu lieu, en 2017 et 2018, et Bruxelles a estimé à chaque fois que l’accord demeurait valable, malgré les manques et les insuffisances qu’elle a constaté dans ses différents rapports.

Quid de 2019 ? L’avis reste sur la même ligne que les années précédentes : « les États-Unis continuent de garantir un niveau suffisant de protection des données personnelles transférées de l’UE vers les sociétés participantes  », écrivent les services européens dans leur bilan annuel. Selon les statistiques du Privacy Shield en date du mois d’octobre, il y a aujourd’hui 5 000 entreprises engagées dans ce dispositif.

Outre la nomination du médiateur permanent, la Commission relève que deux autres postes vacants ont été pourvus au Conseil de surveillance de la vie privée et des libertés civiles, lui permettant ainsi d’avoir enfin un effectif complet. La Commission apprécie également le fait que le ministère américain du commerce « assure une surveillance «  de manière plus systématique » et que «  l’action répressive s’est améliorée » pour faire respecter les dispositions du Privacy Shield.

shield-bouclier
Le Privacy Shield est censé protéger les internautes européens de certains abus, comme un bouclier.

Efforts supplémentaires attendus

S’il n’est plus question de suspendre ce bouclier transatlantique, Bruxelles attend malgré tout quelques efforts supplémentaires de son partenaire américain. Un renforcement du processus de certification des sociétés souhaitant rejoindre le Privacy Shield est attendu. Elle souhaite également un engagement plus fort de la Commission fédérale du commerce (FTC) en matière d’enquêtes sur la conformité à l’égard du Privacy Shield, et une meilleure communication sur les investigations en cours.

Bien qu’en place depuis 2016 et validé à trois reprises par la Commission européenne, le Privacy Shield n’a pas la certitude de perdurer dans le temps. Non pas parce que Bruxelles n’en voudrait plus, mais parce que l’action judiciaire d’un juriste autrichien, Max Schrems, est susceptible d’y mettre fin devant la Cour de justice de l’Union européenne, exactement comme avec le Safe Harbor. La Commission suit de près ce litige et indique qu’elle évaluera la situation en cas d’annulation.

Partager sur les réseaux sociaux