Pour gérer vos consentements :

Le Privacy Shield ne convainc pas encore le G29

Le groupe réunissant les CNIL européennes (G29, ou WP29 en anglais) a rendu un avis mitigé, mercredi 3 février, sur l’accord annoncé la veille entre la Commission européenne et les autorités américaines pour encadrer les transferts de données de l’Union européenne vers les États-Unis.

Le G29 s’est d’abord félicité que Bruxelles et Washington aient conclu leur accord (« EU-US Privacy Shield ») avant la date butoir imposée par ses soins, le 16 octobre 2015 dans la foulée de l’invalidation du Safe Harbor par la Cour européenne de justice de l’Union européenne (CJUE). Mais le G29 veut encore obtenir de la Commission, d’ici la fin février, les documents formels sur l’accord. Et ce pour déterminer si le « bouclier » annoncé apporte un niveau de protection des données personnelles qui réponde aux préoccupations soulevées dans l’affaire Schrems dont avait été saisie la CJUE.

Un accord de principe ou « juridiquement contraignant » ?

Pour le moment, les annonces de Bruxelles autour de l’accord « ne sont que des mots », a déclaré Isabelle Falque-Pierrotin, présidente du G29 et de la CNIL en France. Des inquiétudes demeurent sur le cadre légal de protection des données de citoyens non-Américains aux États-Unis. Or, pour le G29, le nouvel accord doit apporter quatre garanties fondamentales aux transferts de données de l’UE vers les États-Unis et des pays tiers, à savoir : transparence du traitement, proportionnalité dans l’accès aux données par les services de renseignement, supervision indépendante et voies de recours des citoyens européens contestant l’exploitation de leurs données outre-Atlantique.

Les CNIL européennes veulent donc examiner les fondements juridiques du nouvel accord avant de rendre leur verdict, probablement au début du printemps 2016. En attendant, le « bouclier » transatlantique, derrière lequel plusieurs milliers d’entreprises comptent s’abriter, ne peut servir de socle légal aux transferts de données de l’UE vers les États-Unis. Mais leur blocage n’est pas d’actualité, a fait savoir le G29. Les entreprises peuvent toujours utiliser les mécanismes existants de transferts de données (clauses contractuelles types et règles internes d’entreprise ou BCR).

Lire aussi :

L’UE et les Etats-Unis trouvent un accord sur l’après Safe Harbor
Safe Harbor : l’ultimatum des CNIL européennes

crédit photo © Maksim Kabakou / shutterstock.com

Recent Posts

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

3 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

19 heures ago

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

20 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

1 jour ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

2 jours ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

2 jours ago