Par Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons
Le 26 juillet dernier, le G29 (rassemblant l’ensemble des CNILs européennes) a publié son avis sur le Privacy Shield, à la suite de la décision d’adéquation rendue par la Commission européenne le 12 juillet 2016. Par cette décision, la Commission a reconnu que le nouveau mécanisme de transfert de données EU/US fournissait un niveau de protection « essentiellement équivalent » aux exigences européennes.
Pour rappel, le Privacy Shield est l’accord négocié dans l’urgence entre les Etats-Unis et la Commission Européenne, afin de remplacer le Safe Harbor, outil de transfert de données EU/US invalidé par la CJUE en octobre 2015.
En avril dernier, le Groupe de Travail de l’Article 29 avait déjà fait part de ses inquiétudes quant au projet de décision d’adéquation de la Commission : beaucoup de zones d’ombres voire même certaines incohérences.
S’il se réjouit aujourd’hui de constater que ses précédentes recommandations ont été prises en compte par la Commission, le G29 ne cache pas son inquiétude devant les lacunes persistantes de cet accord, comme notamment :
- L’absence de règles spécifiques s’appliquant à la prise de décision automatisée ou encore au droit d’opposition ;
- Le véritable flou existant quant aux conditions d’application des principes du Privacy Shield aux sous-traitants ;
- L’insuffisance des garanties permettant d’assurer l’indépendance du médiateur ;
- Des engagements sans véritable substance de la part des autorités américaines de ne pas opérer de surveillance massive des données.
C’est donc une position mitigée qu’a prise le G29, choisissant le parti de ne pas faire de vagues. Maximilian Schrems à l’origine de la saisine de la CJUE qui a ensuite invalidé le Safe Harbor s’est étonné de la position prise par le G29, qui équivaudrait selon lui à prendre l’engagement de ne pas faire son travail et à faire de "la diplomatie politique".
Dans les faits, la décision d’adéquation ayant déjà été adoptée par la Commission Européenne, la marge de manœuvre du G29 pour remettre en cause la version finale du Privacy Shield était plus que limitée.
Aussi, plutôt que d’attaquer en vain le Privacy Shield, le G29 a préféré miser sur sa révision annuelle pour vérifier son efficacité et la bonne tenue de leurs engagements par les Etats-Unis. En effet, le Privacy Shield doit être revu annuellement lors d’une réunion rassemblant notamment des membres de la Commission Européenne, du Département américain du Commerce et des CNILs européennes.
Rendez-vous en 2017 donc…
Le G29 a d’ailleurs souligné que les résultats de cette première révision annuelle pourraient avoir un impact sur la validité d’autres outils de transferts de données hors UE (clauses contractuelles types et règles internes d’entreprises). Cette remarque du G29 fait écho à l’annonce récente de l’Autorité de protection des données personnelles irlandaise qui souhaite interroger la CJUE sur la validité juridique des clauses contractuelles types au regard du droit européen.
Les entreprises utilisant les clauses contractuelles types pour transférer leurs données vers les Etats-Unis doivent donc continuer d’être vigilantes, ces clauses étant toujours menacées d’extinction. Une extinction qui, encore une fois, est remise à plus tard par le G29. Par conséquent, ces outils de transferts demeurent autorisés, jusqu’à nouvel ordre.