Après avoir obtenu l’ensemble des documents relatifs au nouvel accord transatlantique, le G29 a publié le 13 avril 2016 un avis sur la conformité du “Privacy Shield” avec le droit de l’Union en matière de protection des données. Le point avec Patrick Boiron, Avocat of counsel,KGA Avocats.
Le 2 février 2016, la Commission européenne et les Etats-Unis ont conclu un accord sur un nouveau cadre pour les transferts EU/US de données personnelles : le “Privacy Shield“. Cet accord a pour objet de remplacer le Safe Harbor, invalidé en octobre 2015 par la CJUE dans son arrêt Schrems. Au moment de son annonce, les CNIL européennes avaient refusé de se prononcer, estimant qu’elles ne disposaient pas des éléments nécessaires pour procéder à son évaluation. Après avoir obtenu l’ensemble des documents relatifs au nouvel accord transatlantique, le G29 a publié le 13 avril 2016 un avis sur la conformité du “Privacy Shield” avec le droit de l’Union en matière de protection des données.
Si le G29 reconnaît que le “Privacy Shield“ apporte des améliorations significatives par rapport au Safe Harbor, il soulève la persistance de trop nombreuses zones d’ombres. De façon liminaire, les CNIL européennes dénoncent un manque général de clarté et de cohérence : l’accord se compose en effet d’un grand nombre de documents et d’annexes ce qui rend son analyse et sa compréhension complexes. Le G29 demande donc une clarification du « paquet » constitué par les différents textes de l’accord qu’il trouve parfois confus et contradictoires.
Le G29 manifeste par ailleurs des inquiétudes sur les aspects commerciaux et l’accès par les pouvoirs publics aux données transférées dans le cadre du “Privacy Shield“.
En ce qui concerne le volet commercial, le G29 regrette que certains principes fondamentaux de protection des données personnelles ne soient pas pris en compte par l’accord.
En particulier, les modalités d’application du principe de finalité limitée du traitement des données demeurent peu claires. Le groupe observe également que le principe de durée de conservation limitée des données n’est pas expressément mentionné et ne peut pas être clairement interprété dans la formulation actuelle du texte. Les CNIL européennes relèvent ensuite qu’il n’existe pas de disposition spécifique sur la protection qui devrait être accordée lorsque des décisions individuelles automatisées sont prises sur le seul fondement d’un traitement automatisé de données. Même si le G29 prend acte des nouveaux recours offerts aux individus pour exercer leurs droits, il craint que, dans la pratique, le nouveau mécanisme se révèle trop complexe et difficile à utiliser pour les citoyens européens, notamment du fait qu’il ne s’exercerait qu’en anglais.
S’agissant de l’accès par les pouvoirs publics aux données transférées en vertu du “Privacy Shield“, les CNIL européennes expriment principalement deux sujets d’inquiétude.
En premier lieu, le G29 déplore la possibilité laissée aux autorités américaines de collecter des données en masse. En effet, le groupe de travail considère que les représentants de l’Office américain du directeur du renseignement national ne fournissent pas suffisamment de détails permettant d’exclure la collecte aveugle et massive des données personnelles provenant de l’UE.
Ce point est fondamental : c’est notamment en évoquant la grande latitude dont disposent les agences de renseignement américaines pour puiser dans les données européennes hébergées aux Etats-Unis que la CJUE avait invalidé le Safe Harbor.
En second lieu, le G29 salue la mise en place d’un médiateur (“ombudsperson”) : ce mécanisme de recours devrait améliorer les droits des citoyens européens vis-à-vis des services de renseignement américains. Le groupe de travail s’interroge toutefois sur la réalité de l’indépendance de ce médiateur, et doute qu’il dispose des pouvoirs suffisants pour exercer son rôle efficacement.
A ce stade, le G29 considère donc que le “Privacy Shield“ ne saurait répondre aux exigences du droit de l’Union en matière de protection des données, et demande à la Commission d’apporter les précisions qui permettront d’améliorer le projet et d’assurer un niveau de protection adéquat.
Prochaine étape : le “Privacy Shield“ sera étudié par le Parlement européen et par les Etats membres de l’UE qui publieront leur opinion. Suite à cela, la Commission prendra sa décision concernant le caractère adéquat du niveau de protection offert par le “Privacy Shield“ aux données des ressortissants européens.
En attendant, dans la mesure où le G29 ne s’est pas prononcé sur les autres instruments juridiques, les entreprises pourront toujours se fonder sur les ”Binding Corporate Rules” (BCR) ou les clauses contractuelles types pour transférer des données personnelles vers les Etats-Unis.