Le bouclier de protection des données UE – États-Unis
Le bouclier de protection des données UE – États-Unis (Privacy Shield) est le nouvel accord transatlantique sur la protection des données personnelles qui doit remplacer la sphère de sécurité (safe harbor), invalidé par la Cour de justice de l’Union européenne le 6 octobre 2015.
Il a été introduit le 2 février 2016, et la Commission européenne présentait le 29 février les documents juridiques qui l’instaureront.
Son but principal est d’assurer aux citoyens européens un niveau de protection de leurs données personnelles essentiellement équivalent à celui dont ils jouissent en Europe.
La critique du groupe de travail « Article 29 »
Mercredi, le groupe de travail « Article 29 » sur la protection des données (WP29), qui rassemble notamment des représentants des autorités nationales de contrôle, a donné son avis sur l’accord, lors d’une conférence de presse à Bruxelles, présidée par Isabelle Falque-Pierrotin, présidente du WP29 et présidente de la CNIL.
D’abord enthousiaste, le WP29 a noté les progrès significatifs du bouclier vie privée par rapport à la sphère de sécurité.
Il reproche en revanche le manque de clarté du document, tant du langage que de son organisation.
Il constate que des principes clés de la loi européenne sur la protection des données sont absents du document et de ses annexes. Le principe de rétention des données n’est ainsi jamais mentionné.
Le bouclier de protection sera aussi utilisé pour transférer des données des États-Unis vers des pays tiers, c’est pourquoi le groupe de travail souhaite que le transfert de données d’une entité du bouclier vers un pays tiers bénéficie du même niveau de protection pour tous les aspects du bouclier de protection.
Le nouveau mécanisme de recours pour les citoyens européens est jugé trop compliqué, et probablement inefficace. Pour les recours, le groupe souhaite que les autorités européennes de protection des données puissent agir pour le compte des citoyens qui le souhaiteraient.
Il doute que le médiateur soit suffisamment indépendant, et qu’il ait suffisamment de pouvoirs pour mener à bien sa tache.
Le bouclier de protection des données UE – États-Unis garantit bien la limitation de la surveillance de masse des données personnelles des citoyens européens aux enquêtes sur le terrorisme, l’espionnage et la cybersécurité. Mais le WP29 note que ces conditions ne s’appliquent qu’à l’utilisation de ces données collectées, et non à la collecte elle-même, ce qui est inacceptable.
Il faut enfin que les parties prenantes s’accordent sur les modalités de l’examen annuel commun et clarifient les arrangements nécessaires.
Conséquences et futurs développement
L’avis du groupe de travail « Article 29 » n’est pas contraignant, mais les autorités de protection des données peuvent décider d’enquêter sur des transferts de données vers l’étranger, voire de les bloquer s’ils craignent que les droits des citoyens européens ne soient pas respectés.
Soufflant le chaud et le froid durant la conférence de presse, le groupe de travail attend l’avis du Comité de l’article 31, dont l’avis est contraignant, et différentes décisions de justices, comme la décision de la Cour européenne de justice (Curia) sur les écoutes de masse du GCHQ. Il laisse entendre toutefois que si le document reste inchangé, il pourrait le porter devant la Curia.
Věra Jourová, la commissaire en charge de la justice, des consommateurs et de l’égalité des genres, a promis de tenir compte rapidement de l’avis du groupe de travail, pour le document final prévu pour la mi-juin 2016.
Max Schrems, le juriste qui a lancé la procédure à l’origine de l’invalidation de la sphère de sécurité, est plus pessimiste. Il estime que le bouclier de protection des données UE-États-Unis est un échec complet qui est maintenu uniquement par pression du gouvernement américain. Il pense que si le document reste largement inchangé, il ne résisterait pas devant les cours de justice.
En attendant, la position des entreprises multinationales, et notamment des entreprises américaines qui importent des données personnelles, est délicate. Celles qui appliquent toujours la sphère de sécurité risquent des amendes. Elles doivent utiliser les règles d’entreprise contraignantes, et les modèles de clauses contraignantes pour le transfert des données établis par la Commission européenne.