Verdict du G29 sur le Privacy Shield : peut mieux faire…

Entre les 13 millions de passagers Uber dont les informations ont été communiquées aux autorités américaines, les débats européens en cours sur le dossier du PNR, la guerre ouverte entre Apple et le FBI, ou bien celle de la CNIL contre Facebook, la "data" continue de faire couler beaucoup d’encre… Aujourd’hui, lors de la conférence de presse du G29, c’est au tour du Privacy Shield de refaire parler de lui.

Par Annabelle Richard et Anne-Sophie Mouren, avocats au cabinet Pinsent Masons.

Petit rappel pour ceux du fond : il s’agit de l’accord conclu entre les Etats-Unis et la Commission Européenne, annoncé début février 2016 afin de remplacer le Safe Harbor, déclaré mort suite à l’arrêt Schrems, pour autoriser les transferts EU/US de données personnelles.

Au moment de cette annonce, le G29 avait refusé de se prononcer sur l’intérêt du Privacy Shield estimant qu’il ne disposait pas de suffisamment de détails concernant cet accord. La Commission avait donc été invitée à faire parvenir tous les éléments relatifs au Privacy Shield au G29 à la fin du mois de février afin que ce dernier puisse se prononcer sur le caractère satisfaisant de cet accord courant avril.

Des fuites annonçaient déjà depuis quelques jours que les autorités européennes de protection des données ne rendraient pas un avis favorable sur le Privacy Shield, ce qui a été confirmé aujourd’hui.

Si le groupe de travail rassemblant l’ensemble des CNILs européennes reconnaît que des progrès sont apportés par le Privacy Shield, le G29 ne cache pas ses appréhensions quant à la "solidité juridique" de cet accord.

De trop nombreuses zones d’ombres

Premier écueil d’après le G29, le "bouclier de protection des données UE-US" est difficile à comprendre et il est plus qu’urgent de le clarifier : les nombreux documents et annexes composant le Privacy Shield sont complexes et parfois même incohérents les uns avec les autres. Il semblerait ensuite que des principes essentiels en matière de protection des données personnelles ne soient pas reflétés dans la décision d’adéquation et annexes publiées par la Commission Européenne.

Le G29 a notamment étudié le volet "sécurité nationale" du Privacy Shield en se fondant sur quatre garanties européennes essentielles que le Groupe a tiré de la jurisprudence de la CJUE et la CEDH : (i) un traitement fondé sur des règles claires, précises et accessibles, (ii) nécessité et proportionnalité quant à l’objectif légitime poursuivi, (iii) un mécanisme de contrôle indépendant et (iv) des recours effectifs garantis aux individus.

Or, sur ce volet, le G29 exprime principalement deux sujets d’inquiétude :

· La possibilité laissée dans le Privacy Shield d’effectuer des traitements de données en masse de façon indiscriminée, ce que le G29 considère tout simplement comme inacceptable ;

· La réalité de l’indépendance du médiateur ("ombudsman") prévu par le Privacy Shield (quel statut, quels pouvoirs ?), dont le G29 admet toutefois que sa création est une "grande innovation".

C’est donc du bout des lèvres qu’il reconnait les améliorations apportées par le Privacy Shield, comparé au Safe Harbor.

Un point pour l’effort…

Néanmoins, il insiste davantage sur les améliorations et clarifications importantes qui restent nécessaires pour que le Privacy Shield garantisse un niveau équivalent de protection à celui assuré par le droit européen aux données transférées depuis l’Europe vers les Etats-Unis.

La Commission est donc invitée à revoir urgemment sa copie afin de perfectionner le mécanisme du Privacy Shield et le G29, dont l’avis est simplement consultatif, se tient à sa disposition pour avancer dans ce sens.

Les autres outils de transferts de données encore exploitables

Beaucoup s’inquiètent à juste titre du sort des autres outils de transferts de données que sont les Clauses Contractuelles Types (SCCs) et les Règles Internes d’Entreprise (BCR) utilisés par les responsables de traitements établis en Europe pour transférer légalement des données personnelles vers les Etats Unis, à la suite de l’invalidation du Safe Harbor par la CJUE (arrêt Schrems).

Le G29, qui n’avait pas caché ses doutes quant à la capacité de ces outils à garantir un niveau de protection suffisant aux données transférées aux Etats-Unis à la lumière des exigences posées par la CJUE dans l’arrêt Schrems, a confirmé aujourd’hui que ces outils restaient exploitables, jusqu’à nouvel ordre…

Prochaine étape, le Privacy Shield doit être étudié par le Parlement européen et par les Etats Membres de l’UE dans le cadre de la procédure de "comitologie" (Article 31 de la directive 95/46/CE) qui publieront leur opinion. Suite à cela, la Commission prendra sa décision concernant le caractère adéquat du niveau de protection offert par le Privacy Shield aux données des ressortissants européens.

Dans l’intervalle, le Privacy Shield pourra être modifié afin de prendre en compte les remarques des différents intervenants.

S’il n’est pas modifié, des recours devant la CJUE seraient toujours envisageables.

D’ici là, rien de ne change. Les responsables de traitement effectuant des transferts de données vers les Etats Unis peuvent continuer à se fonder sur les SCC et les BCR pour réaliser ces transferts mais sans qu’il soit possible de considérer ce schéma comme pérenne.

L’incertitude demeure donc.


Par Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons