Décision de la Commission européenne sur le Privacy Shield et la position du G29

Le 12 juillet dernier, la Commission européenne a définitivement adopté sa décision d'adéquation concernant le Privacy Shield, cet accord portant sur la protection des données personnelles des ressortissants européens exportées vers les États-Unis.

Si vous avez raté les épisodes précédents…

Rappelons que cet accord faisait suite au tristement célèbre Safe Harbor qui n'avait rien de "Safe" (sécurisé) validé un peu à la légère par la Commission en juillet 2000 et finalement invalidé à la demande d'un citoyen européen par la Cour de justice de l'Union européenne le 6 octobre 2015 (notre actualité du 9 octobre 2015).

La Commission a donc dû reprendre des négociations avec les autorités américaines afin de trouver un accord qui offre un niveau de protection au moins équivalent à celui pratiqué en Europe. C'est ainsi qu'est né le Privacy Shield (ou "bouclier pour la vie privée") dont les bases on été jetées le 2 février 2016 (notre actualité du 5 février).

De sérieuses réserves

Le 13 avril, le G29, groupe de travail réunissant les 28 "Cnil" européennes, avait émis des réserves quant au niveau de protection du projet d'accord.

Le 26 mai dernier, le Parlement européen votait une résolution appelant à améliorer le projet d'accord, selon les parlementaires encore trop timoré quant à la protection des citoyens européens (notre actualité du 27 mai).

La décision d'adéquation

Le 12 juillet la Commission a donc considéré que le niveau de protection garanti par le Privacy Shield était équivalent à celui garanti par la législation européen et a donc pris cette décision d'adéquation.

Des réserves persistantes

Il semble cependant que beaucoup d'observateurs n'aient pas la même vision bienveillante sur cet accord. C'est notamment le cas du G29 qui une fois de plus a fait connaître ses réticences, certes réduites en regard du premier avertissement, quant à la garantie de protection octroyée par l'accord.

La Cnil a publié, le 29 juillet dernier, la "Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield (bouclier de protection des données UE-États-Unis)".
Si le groupe constate que certaines de ses mises en garde passés ont été prises en compte dans l'accord validé, il déplore cependant que certains points restent en-deçà du niveau de protection européen.

C'est notamment le cas, en matière commerciale, d'absence de disposition concernant les décisions automatisées et l'existence d'un droit d'opposition.

S'agissant de l'accès aux données par les pouvoirs publics américains, il note que l'accord ne garantit pas concrètement le risque de collecte massive et non ciblée de données personnelles, pratiques qui avaient été l'un des points de litige entraînant l'invalidation du Safe Harbor.

En savoir plus

Déclaration du G29 sur le site de la Cnil :
https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield
Annonce de l'adoption de la décision d'adéquation par la Commission européenne, le 12 juillet :
https://www.cnil.fr/fr/adoption-de-la-decision-dadequation-du-privacy-shield-par-la-commission-europeenne
Avis du G29 du 13 avril 2016 sur le projet d'accord EU-USA (pdf en anglais, 598 Ko) sur le site du G29 :  
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
Déclaration du G29 du 26 juillet version d'origine (pdf en anglais, 157 Ko) :
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf

Didier FROCHOT