Dans un projet de résolution, la commission des libertés au Parlement européen demande la suspension pure et simple du Privacy Shield. Un accord signé entre la Commission européenne et les États-Unis pour assurer les transferts de données personnelles.
Le Privacy Shield est venu rectifier un vide juridique né d’une décision de la Cour de justice de l’Union européenne. Le 6 octobre 2015, elle avait décapité le précédent accord nommé Safe Harbor, passé en 2000. À la lumière des révélations Snowden, elle a estimé que la situation aux États-Unis, accentuée par le manque de contrôle de la Commission européenne, ne permettait pas de considérer ce pays comme un espace « sûr ».
Le 12 juillet 2016, après des mois de négociations, la Commission européenne collait la rustine Privacy Shield pour permettre aux entreprises de continuer à transférer « leurs » données outre-Atlantique. Seulement, si des améliorations ont été saluées par rapport à la version antérieure, le Privacy Shield est cible de nombreuses critiques (sauf du gouvernement français).
FDN, FFDN et la Quadrature du Net estiment par exemple que le nouveau régime n’évince pas le risque d’une collecte de masse à des fins de renseignement. Ils ont porté l’affaire devant la CJUE. Un message également porté par Max Schrems, dans une action visant Facebook.
De même, les autorités de contrôle européennes ont égrainé une liste de points noirs toujours d’actualité : manque d’information des citoyens, risque de profilage, risque de collecte de masse non évacué, outre des questions de procédures toujours en souffrance comme la nomination d’un médiateur, attendue depuis des mois.
Une suspension à l'heure de Cambridge Analytica et du Cloud Act
Au Parlement européen, ces défaillances ont été pointées par un projet de résolution. Un message sans portée juridique, mais aux effets politiques potentiellement forts sur les positions du Parlement européen. Le texte a été examiné par la commission des libertés civiles, avec pour rapporteur le député Claude Moreas.
En substance, elle estime que « l'accord entre l'UE et les États-Unis sur le transfert de données à caractère personnel n'assure pas une protection suffisante ». Le texte de la résolution s’inscrit dans la droite file du communiqué du G29, structure qui regroupe l’ensemble des « CNIL » européennes.
On retrouve donc les mêmes critiques, agrémentées du récent Cloud Act qui étend la territorialité des lois américaines au-delà des frontières sans passer par l’entraide judiciaire, et du scandale Facebook-Cambridge Analytica. Deux entreprises pourtant « certifiées » dans le cadre du Privacy Shield.
Le projet de résolution, adopté par 29 voix pour, 25 voix contre et 3 abstentions, demande tout simplement la suspension de l’accord si les défaillances subsistent au 1er septembre. Les eurodéputés ajoutent qu'il devrait rester suspendu tant que les autorités américaines ne respectent totalement ses conditions.
Pour Claude Moraes (S&D, UK), « bien que des progrès aient été réalisés pour améliorer l'accord Safe Harbor, le bouclier de protection des données dans sa forme actuelle n'offre pas le niveau de protection adéquat requis par la législation de l'UE en matière de protection des données et la Charte de l'UE. Il appartient donc aux autorités américaines de suivre réellement les termes de l'accord et à la Commission européenne de prendre des mesures pour s'assurer qu'il se conformera pleinement au RGPD. »
Le texte sera soumis au vote du Parlement européen lors de la session plénière de juillet.
