Le Comité européen de la protection des données, dont fait partie la CNIL, continue de relever différents problèmes avec le Privacy Shield. Mais il note aussi des améliorations.

Décidément, la Commission européenne et les instances de la protection des données personnelles du Vieux Continent peinent à partager le même point de vue sur le Privacy Shield.

Si Bruxelles considère, dans un avis rendu fin octobre, que les États-Unis « continuent de garantir un niveau suffisant de protection » pour les données personnelles des internautes qui sont envoyées de l’autre côté de l’Atlantique, et que des améliorations substantielles ont été obtenues depuis trois ans, le Comité européen de la protection des données (EDPB), lui, est plus réservé.

Certes, l’EDPB apprécie lui aussi les changements qui ont été engagés par Washington pour rendre plus opérationnel encore le « bouclier de protection de la vie privée ». Cela dit, pour cette instance mise en place par le Règlement général sur la protection des données et dont est membre la Commission nationale de l’informatique et des libertés, il y a encore des soucis irrésolus.

Encore des préoccupations

En particulier, l’EDPB relève que certains contrôles de conformité vis-à-vis des principes du Privacy Shield « demeurent préoccupants ». D’autres domaines requièrent à ses yeux une attention particulière. Parmi eux, la bonne application des exigences du Privacy Shield au sujet des transferts ultérieurs de données, le cas des sous-traitants et le processus de re-certification des entreprises liées à ce dispositif.

L’EDPB appelle aussi à la publication de rapports supplémentaires, «  notamment pour fournir une évaluation indépendante des programmes de surveillance menés en dehors du territoire américain, pendant que les données sont transférées de l’Union européenne aux États-Unis ». Y compris d’éventuels documents confidentiels, qui seraient consultés par ses experts triés sur le volet.

cjue cour justice
Cour de justice de l’Union européenne. // Source : Transparency International EU Office

Ce n’est pas anodin : le Privacy Shield a succédé au Safe Harbor, qui a été invalidé fin 2015 par la Cour de justice de l’Union européenne, car les États-Unis ne garantissaient pas le même niveau de protection que sur le Vieux Continent. Or, à l’origine de la procédure s’est trouvée une plainte contre Facebook, déposée à la suite des révélations d’Edward Snowden sur les programmes de la NSA, dont l’un d’eux, PRISM, aménage un accès privilégié aux données des internautes pour les agences de renseignement américaines, donc y compris des données d’internautes européens.

Cette vérification de l’EDPB est la troisième conduite sur le Privacy Shield. La Commission effectue elle aussi un examen annuel afin de « s’assurer qu’il continue de garantir un niveau de protection adéquat des données à caractère personnel ». À chaque fois, Bruxelles l’a déclaré viable et fonctionnel, malgré des manques et insuffisances relevés dans ses rapports.

Partager sur les réseaux sociaux