Avis WP 238 du Groupe de travail de l’article 29 du 13 avril 2016 sur le projet de décision d’adéquation du Privacy Shield[1] 

L’avis rendu le 13 avril par le Groupe de l’article 29 (G 29)[2] sur le Privacy Shield (« Bouclier de la Vie Privé »)[3] ouvre la voie à une possible décision d’adéquation par la Commission européenne.  Le fait que malgré certaines rumeurs, le G29 n’ait pas rejeté en bloc le programme proposé représente un soulagement pour bon nombre de sociétés. Cependant et comme cela était prévisible, le G29 a demandé certaines clarifications et améliorations.  Le bout du chemin n’est donc pas encore atteint pour les entreprises transférant des données de l’UE vers les USA.

Demandes de clarifications

Le G29 salue dans un premier temps les avancées significatives qui répondent à bon nombre des critiques adressées au Safe Harbor, invalidé par la CJUE en octobre 2016[4] , mais soulève un certains nombres de points qui selon lui doivent encore être résolus. 

Le G29 demande une clarification du « paquet » constitué par les différents textes du Privacy Shield, qu’il trouve parfois confus voire contradictoires. 

Il demande aussi à ce que le programme soit réexaminé dans deux ans, après l’entrée en vigueur du Règlement Général sur la Protection des Données Personnelles (qui est en cours d’adoption définitive). 

Concernant les « aspects commerciaux » 

Il considère que les textes ne reflètent pas suffisamment les principes du futur Règlement et suggère que des notions clés soient inclues. 

Il soulève notamment des questions sur la durée de rétention, le principe de proportionnalité, les décisions prises sur la base de traitements automatisés, les transferts ultérieurs et les droits de recours des personnes concernées. 

Concernant les exceptions pour raison de sécurité publique 

Le G29 estime que les assurances sur la collecte massive et indifférenciée de données sont insuffisantes mais demande des précisions sur les pouvoirs et l’indépendance de l’ombudsman. Par ailleurs, si le niveau de protection a été amélioré par rapport au Safe Harbor, trop d’éléments sont de nature informelle, ce qui n’est pas acceptable selon le G29. 

Il est à noter que le G29 a publié le même jour un autre avis WP237 sur « les garanties essentielles en cas d'interférences avec le droit à la vie privée et à la protection des données par le biais de mesures de surveillances lorsque l'on transfère des données personnelles » sous l’intitulé « Garanties Européenne Essentielles/ European Essential Garantees »[5].

Quelles perspectives ?

Bien que le processus soit ardu, il a certainement contribué à ce que de nombreuses entreprises américaines qui font des affaires en Europe prennent conscience de l'importance des règles de protection des données personnelles de l'UE. 

La plupart des entreprises souhaitent agir dans le respect de la règlementation, mais ont été retenues par le manque de solution claire et viable à long terme pour légitimer le flux des données vers les Etats-Unis. 

L'avis WP29 aura  probablement pour effet de retarder le processus de finalisation du Privacy Shield, mais il semble que la Commission soit prête à faire adopter (d’ici à juin 2016) une décision d'adéquation après quelques adaptations, pour tenir compte de l’avis.  Bien que des obstacles juridiques soient à prévoir, on peut espérer qu’en attendant l'issue de tout litige, les entreprises auront la possibilité d’effectuer des transferts de données personnelles de l'UE vers États-Unis sur la base du Privacy Shield, et non pas seulement sur la base des clauses standards ou des BCR. On peut aussi espérer que les autorités de protection des données personnelles seront indulgentes avec les entreprises « certifiées Safe harbor » n’ayant pas encore pris de mesure pour remplacer le Safe Harbor dans l’attente du Privacy Shield.