Le groupe réunissant les CNIL européennes (G29, ou WP29 en anglais) a rendu un avis mitigé, mercredi 3 février, sur l’accord annoncé la veille entre la Commission européenne et les autorités américaines pour encadrer les transferts de données de l’Union européenne vers les États-Unis.
Le G29 s’est d’abord félicité que Bruxelles et Washington aient conclu leur accord (« EU-US Privacy Shield ») avant la date butoir imposée par ses soins, le 16 octobre 2015 dans la foulée de l’invalidation du Safe Harbor par la Cour européenne de justice de l’Union européenne (CJUE). Mais le G29 veut encore obtenir de la Commission, d’ici la fin février, les documents formels sur l’accord. Et ce pour déterminer si le « bouclier » annoncé apporte un niveau de protection des données personnelles qui réponde aux préoccupations soulevées dans l’affaire Schrems dont avait été saisie la CJUE.
Pour le moment, les annonces de Bruxelles autour de l’accord « ne sont que des mots », a déclaré Isabelle Falque-Pierrotin, présidente du G29 et de la CNIL en France. Des inquiétudes demeurent sur le cadre légal de protection des données de citoyens non-Américains aux États-Unis. Or, pour le G29, le nouvel accord doit apporter quatre garanties fondamentales aux transferts de données de l’UE vers les États-Unis et des pays tiers, à savoir : transparence du traitement, proportionnalité dans l’accès aux données par les services de renseignement, supervision indépendante et voies de recours des citoyens européens contestant l’exploitation de leurs données outre-Atlantique.
Les CNIL européennes veulent donc examiner les fondements juridiques du nouvel accord avant de rendre leur verdict, probablement au début du printemps 2016. En attendant, le « bouclier » transatlantique, derrière lequel plusieurs milliers d’entreprises comptent s’abriter, ne peut servir de socle légal aux transferts de données de l’UE vers les États-Unis. Mais leur blocage n’est pas d’actualité, a fait savoir le G29. Les entreprises peuvent toujours utiliser les mécanismes existants de transferts de données (clauses contractuelles types et règles internes d’entreprise ou BCR).
Lire aussi :
L’UE et les Etats-Unis trouvent un accord sur l’après Safe Harbor
Safe Harbor : l’ultimatum des CNIL européennes
Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…
Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…
Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…
Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…
Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…
Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…