Le périple du Privacy Shield semble désormais avoir atteint sa destination : après une demande de la part du Parlement européen fin mai 2016 de renforcer les garanties en matière de protection des données personnelles des citoyens européens après leur transfert outre-atlantique, la Commission a tranché le 12 juillet dernier. Les commissaires ont ainsi jugé que le niveau de sécurité était équivalent à celle offerte par l’Union européenne.

Toutefois, cette décision d’adéquation est loin d’être venue couper court aux incertitudes qui entourent cet Accord : le G29 – le groupe de travail qui rassemble les 28 CNIL européennes en charge de veiller à une protection effective des données personnelles des citoyens européens – a rendu public un communiqué qui renouvelle les « préoccupations » déjà formulées au printemps dernier.
Plusieurs dispositions et lacunes avaient alors été épinglées, en particulier un « manque de clarté général » du texte, l’absence de délai de conservation des données, la complexité des possibilités de recours offertes, le manque d’indépendance du médiateur tel que proposé, et surtout le manque de garanties visant à balayer le risque de « surveillance massive et indiscriminée » des données – ce qui est légal dans le cadre du Patriot Act mais contraire au Droit européen.

« Face aux lacunes du Privacy Shield, le G29 joue pleinement son rôle de protecteur des données personnelles et de gardien de ce devoir de l’Union envers ses citoyens »

La position du G29 n’a guère évolué malgré les dernières modifications apportées à l’accord : s’il accueille favorablement les engagements renouvelés des négociateurs américains, les garanties concrètes restent trop vagues notamment en ce qui concerne la problématique de la surveillance de masse.
Face aux lacunes du Privacy Shield, le G29 joue pleinement son rôle de protecteur des données personnelles et de gardien de ce devoir de l’Union envers ses citoyens. De ce fait, cet organisme indépendant sera d’autant plus central qu’il va devoir garantir ce droit fondamental tant dans l’application de l’accord et l’interprétation qui en seront faites que dans le système de recours mis en place afin d’épauler les citoyens. En parallèle, le 29 juillet, le G29 a rendu public une déclaration dans laquelle il indique sa volonté de collaborer avec la Commission européenne dans l’élaboration et l’implémentation d’un organe européen de centralisation des plaintes (EU centralized body) ainsi que dans l’organisation pratique de l’évaluation conjointe prévue dans les modalités de l’Accord. La majorité des documents relatifs à ces nouveautés, de même que les lignes directrices du G29, ont été adoptées mi-décembre, alors que les dernières modalités doivent être finalisées durant la plénière de février. Ces lignes directrices ont été définies en étroite collaboration avec les organes européens et internationaux compétents ainsi qu’avec les acteurs de la société civile concernés.

Les failles que présente le Privacy Shield tel qu’il a été adopté sont donc étroitement surveillées du côté européen grâce à ce rôle de garde-fou qu’a endossé le G29. Cette mission de gardien des données tend d’ailleurs à s’institutionnaliser avec l’évolution du G29 vers un Comité européen de protection des données (CEPD) qui doit le remplacer pour 2018.
Par son suivi attentif du Privacy Shield, le futur CEPD pourrait donc permettre de faire face aux garanties qui manquent à l’Accord tel qu’il a été adopté. Les critiques dont il a fait l’objet sont certes réelles et préoccupantes, mais elles peuvent dans ce cas être contrebalancées par la surveillance active du G29, tout comme des autres organes de l’Union telle que la Cour de Justice européenne, laquelle avait déjà fait valoir le droit européen lors de son invalidation du prédécesseur du Privacy Shield, le Safe Harbor.

Emmanuelle Gris

En savoir plus :

Article 29 Working Party Statement on the decision of the European Commission on the EU-U.S. Privacy Shield :
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf

Communiqué du G29 – séance plénière des 12 et 13 décembre 2016 :
https://www.cnil.fr/fr/communique-g29-seance-pleniere-du-g29-des-12-et-13-decembre-2016

REES, Marc, « Privacy Shield : les inquiétudes du G29 persistent, sans conséquence immédiate », 26 juillet 2016 :
http://www.nextinpact.com/news/100776-privacy-shield-inquietudes-g29-persistent-sans-consequence-immediate.htm