Le Privacy Shield ne convainc pas encore le G29

Ariane Beky,

Le groupe des CNIL européennes veut examiner les garanties du « bouclier de confidentialité » post-Safe Harbor sur les transferts de données vers les États-Unis. Verdict au printemps.

Le groupe réunissant les CNIL européennes (G29, ou WP29 en anglais) a rendu un avis mitigé, mercredi 3 février, sur l’accord annoncé la veille entre la Commission européenne et les autorités américaines pour encadrer les transferts de données de l’Union européenne vers les États-Unis.

Le G29 s’est d’abord félicité que Bruxelles et Washington aient conclu leur accord (« EU-US Privacy Shield ») avant la date butoir imposée par ses soins, le 16 octobre 2015 dans la foulée de l’invalidation du Safe Harbor par la Cour européenne de justice de l’Union européenne (CJUE). Mais le G29 veut encore obtenir de la Commission, d’ici la fin février, les documents formels sur l’accord. Et ce pour déterminer si le « bouclier » annoncé apporte un niveau de protection des données personnelles qui réponde aux préoccupations soulevées dans l’affaire Schrems dont avait été saisie la CJUE.

Un accord de principe ou « juridiquement contraignant » ?

Pour le moment, les annonces de Bruxelles autour de l’accord « ne sont que des mots », a déclaré Isabelle Falque-Pierrotin, présidente du G29 et de la CNIL en France. Des inquiétudes demeurent sur le cadre légal de protection des données de citoyens non-Américains aux États-Unis. Or, pour le G29, le nouvel accord doit apporter quatre garanties fondamentales aux transferts de données de l’UE vers les États-Unis et des pays tiers, à savoir : transparence du traitement, proportionnalité dans l’accès aux données par les services de renseignement, supervision indépendante et voies de recours des citoyens européens contestant l’exploitation de leurs données outre-Atlantique.

Les CNIL européennes veulent donc examiner les fondements juridiques du nouvel accord avant de rendre leur verdict, probablement au début du printemps 2016. En attendant, le « bouclier » transatlantique, derrière lequel plusieurs milliers d’entreprises comptent s’abriter, ne peut servir de socle légal aux transferts de données de l’UE vers les États-Unis. Mais leur blocage n’est pas d’actualité, a fait savoir le G29. Les entreprises peuvent toujours utiliser les mécanismes existants de transferts de données (clauses contractuelles types et règles internes d’entreprise ou BCR).

Lire aussi :

L’UE et les Etats-Unis trouvent un accord sur l’après Safe Harbor
Safe Harbor : l’ultimatum des CNIL européennes

crédit photo © Maksim Kabakou / shutterstock.com