Le G29 souffle le chaud et le froid sur le Privacy Shield
Accès aux données transférées aux États-Unis, voies de recours, médiation… sont autant de « sujets d’inquiétude » pour le G29, groupe des CNIL européennes. L’industrie s’impatiente.
Déjà réservé sur le sujet, le G29, regroupement des autorités européennes de protection des données, a rendu mercredi un avis prudent sur le Privacy Shield (bouclier de confidentialité). Ce projet d’accord sur le transfert des données transatlantiques a été conclu en février dernier entre la Commission européenne et le Département américain du commerce. Il vise à remplacer le Safe Harbor invalidé fin 2015 par la Cour de justice de l’Union européenne (CJUE).
Pour convaincre, le Privacy Shield doit apporter un niveau de protection des données personnelles de l’Union européenne vers les États-Unis qui réponde aux préoccupations soulevées dans l’affaire Schrems, affaire dont avait été saisie la CJUE. Mais le compte n’y est pas encore, selon le G29. Malgré des « améliorations significatives » apportées par le Privacy Shield par rapport au Safe Harbor, notamment « dans la définition des droits et la reconnaissance des enjeux de la surveillance », a expliqué hier Isabelle Falque-Pierrotin, présidente de la CNIL en France et du G29.
Écarter la surveillance de masse
Le G29 dénonce « un manque de clarté général », une « complexité », et parfois une « incohérence », des documents et annexes qui composent le Privacy Shield. C’est notamment le cas pour les voies de recours que pourront emprunter les citoyens européens contestant l’exploitation de leurs données outre-Atlantique, indique le groupe dans son avis consultatif.
Quant à l’accès des agences de renseignement aux données transférées dans le cadre du Privacy Shield (volet sécurité nationale), il soulève de « fortes préoccupations ». Le risque d’une collecte « massive et indiscriminée » des données par un État n’est pas écarté. Le groupe s’inquiète aussi du statut et de l’indépendance du médiateur (« ombudsman ») vers lequel les citoyens européens pourront se tourner. « Il y a donc encore du travail à faire » pour la Commission européenne et le Département américain du commerce qui ont négocié l’accord, selon Isabelle Falque-Pierrotin.
Déterminé, le G29 presse la Commission européenne « de répondre à ces inquiétudes, d’identifier les solutions appropriées et de fournir les clarifications demandées ». Le groupe demande aussi qu’une « clause de révision » soit incluse au Privacy Shield. Et ce afin d’inclure la réforme européenne sur les données personnelles adoptée fin 2015, mais qui entrera en vigueur en 2018 seulement.
Presser la Commission européenne
Si le Privacy Shield n’était pas modifié « des recours devant la CJUE seraient toujours envisageables », commentent les avocates Annabelle Richard et Anne-Sophie Mouren du cabinet Pinsent Masons. Pour calmer le jeu, Vera Jourova, commissaire européenne à la justice, a exprimé dès mercredi sa volonté d’inclure des « recommandations utiles » du G29 « dans la décision finale » de la Commission.
Bruxelles ambitionne de présenter sa décision en juin, après l’examen du projet par les États membres et le Parlement européen. L’objectif étant de rendre le Privacy Shield opérationnel avant la fin de l’année 2016… En attendant, le « bouclier » derrière lequel plusieurs milliers d’entreprises comptent s’abriter, ne peut servir de socle légal aux transferts de données transatlantiques.
Rassurer le monde des affaires
Pas de blocage aux transferts cependant, puisque l’industrie peut toujours utiliser les alternatives à sa disposition (clauses contractuelles types ou SCC et règles internes d’entreprise ou BCR). « Le G29 n’avait pas caché ses doutes quant à la capacité de ces outils à garantir un niveau de protection suffisant aux données transférées aux États-Unis, rappelle le cabinet d’avocats Pinsent Masons , mais il a confirmé mercredi que ces outils restaient exploitables, jusqu’à nouvel ordre… ».
Mais les industriels s’impatientent. « Dans une économie mondialisée, les transferts de données sont l’un des moteurs de l’activité numérique des entreprises. C’est pourquoi il est indispensable qu’un cadre juridique clair soit rapidement établi, de manière à sécuriser les entreprises et à assurer la garantie des droits fondamentaux des citoyens européens », a déclaré par voie de communiqué Tech in France (ex-Afdel), qui réunit éditeurs de logiciels et sociétés du numérique. Comme Microsoft et le lobby de l’industrie technologique DigitalEurope, Tech in France considère que « le Privacy Shield constitue la première pierre d’un nouveau socle de confiance numérique pour les entreprises ».
Lire aussi :
Privacy Shield : Microsoft acquiesce, les CNIL sceptiques
L’affaire Apple-FBI, une menace pour le Privacy Shield ?
Privacy Shield : les États-Unis promettent de moins espionner l’Europe
