Privacy Shield : les inquiétudes du G29 persistent, sans conséquence immédiate

Du bouclier de papier 3
En bref
image dediée
Crédits : maxkabakov/iStock/ThinkStock
Loi
Marc Rees

Le groupe des autorités de contrôles des données personnelles vient de rendre public un communiqué sur le Privacy Shield. Et c’est peu de le dire : l’accord juridique entre la Commission et les États-Unis visant à de fluidifier les échanges de données personnelles, suscite toujours des inquiétudes.

Cet accord tout juste signé entre la Commission européenne et les États-Unis vient combler le vide laissé par l’annulation du Safe Harbor, son ancêtre de 2000. Le 16 octobre 2015, dans son fameux arrêt Schrems, la Cour de justice européenne a en effet décapité cette principale possibilité de transférer outre-Atlantique les données des citoyens européens, déplorant l’absence de garanties équivalentes à celle en vigueur en Europe. Les révélations Snowden avaient bien entendu nourri généreusement son analyse.

Son successeur, le « bouclier vie privée » avait déjà été ausculté par le G29. Pour mémoire, ce groupe réunit l’ensemble des gardiens des données personnelles européens et est présidé par Isabelle Falque-Pierrotin, celle qui en France est numéro 1 de la CNIL.

Des préoccupations printanières...

Il avait déjà exprimé « ses préoccupations » sur une ébauche de ce Privacy Shield au printemps dernier. S’il saluait poliment des améliorations, il épinglait un « manque général de clarté », l’absence d’un principe de durée limitée de conservation des données expressément affirmé. De plus, écrivait-il alors, « il n’existe pas de disposition dédiée à la protection qui devrait être offerte lorsque des décisions individuelles automatisées sont prises sur le seul fondement d’un traitement automatisé de données ».

Autre chose, la possibilité de recours était jugée trop complexe, notamment par ce qu’il ne « s’exercerait qu’en anglais et qu’il pourrait, de ce fait, ne pas offrir une garantie effective ». Plus grave encore, le G29 déplorait « que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens ». Enfin le groupe des « CNIL européennes » considérait que l’introduction d’un médiateur (ou « Ombudsperson ») chargé de traiter ces recours était loin d’offrir une indépendance digne de ce nom.

... Aux préoccupations estivales

Trois mois plus tard, rebelote pourrait-on dire. Le G29 félicite à nouveau des avancées, mais réitère ses préoccupations s’agissant notamment de l’accès des pouvoirs publics aux données transférées vers les États-Unis. Mieux : « concernant la collecte en vrac des données personnelles » le G29 prend note de l’engagement de ne pas réaliser de collecte de masse et indiscriminée des données, cependant il ne s’en satisfait pas vraiment au regard du « manque de garantie concrète » proscrivant ces pratiques. Autre interrogation, le G29 ne sait toujours pas comment les principes du Privacy Shield seront effectivement appliqués à certains traitements de données.

Faute de mieux, les autorités de contrôle européennes comptent maintenant sur le mécanisme de révision annuelle, programmé par l’accord, afin d’approfondir cet examen. Elles misent à ce titre sur les capacités d’intervention des CNIL de chaque État membre, en caressant l’espoir que celles-ci disposeront d’un vaste accès pour l’accomplissement de leur mission de contrôle. « En participant à cet examen, les représentants nationaux du G29 ne seront pas seulement chargés de vérifier si les questions en suspens ont été résolues, mais aussi de voir si les garanties prévues sont effectives et efficaces ». Sachant que les conclusions qui seront tirées d’ici là pourront également impacter les autres moyens de transfert comme les règles d’entreprise ou les clauses contractuelles types.

« Notre marge de manœuvre est nulle »

L’intervention du G29 est donc ici plutôt limitée, puisque s’il constate des problèmes persistants, il renvoie à 2017 le soin d’en jauger leur profondeur et leur intensité. Interrogée pas plus tard que mi-juillet, la présidente du G29, Isabelle Falque-Pierrotin avait d’ailleurs reconnu dans nos colonnes que « notre marge de manœuvre est nulle. Le Privacy Shield a été conclu ».

En revanche, soupesait-elle, « l'appréciation que portera le G29 sur le Privacy Shield, au regard de ce qu'a demandé la Cour de justice, sera très importante pour le futur (s'il y a des plaintes ou des actions devant la CJUE). L'appréciation juridique qu'apportera le G29 sur ce Privacy Shield et sur la manière dont il répond totalement, partiellement ou pas du tout aux préoccupations des CNIL européennes conditionnera la robustesse juridique de l'outil ». L’issue pourrait en effet venir également d’une nouvelle procédure lancée par un citoyen européen, à l’instar de ce qu’a fait Maximilien Schrems.


chargement
Chargement des commentaires...