Le 29 février dernier, la Commission Européenne a publié son projet de décision d'adéquation sur l'accord de protection des données baptisé « EU-US Privacy Shield », devant remplacer l'accord Safe Harbor invalidé par la Cour de Justice de l'Union Européenne dans son arrêt Schrems du 6 octobre 2015. Le G29 (composé des représentants de toutes les autorités de protection des données européennes) a conduit une évaluation de conformité de cet accord et a rendu son avis le 13 avril 2016 conformément à la procédure prévue par la Directive 95/46/CE. Tout en saluant les efforts de la Commission et les améliorations significatives par rapport au Safe Harbor, le G29 fait état d'un certain nombre d'insuffisances et demande des clarifications.

  1. Quelles sont les principales insuffisances du EU-US Privacy Shield selon le G29 ?  

Un manque de lisibilité et la nécessité de réviser le texte pour l'adapter au nouveau Règlement Général

Le G29 déplore :

  1. le manque de clarté du fait notamment de garanties exprimées à travers des documents et annexes trop nombreux présentant ainsi des contradictions et en rendant la lecture difficile.
  2. l'absence d'harmonisation entre le EU-US Privacy Shield et le Règlement Général Sur La Protection des Données (RGPD), du fait de la préparation de cet accord sur la base de la Directive 95/46/EC. Une revue du texte de la décision d'adéquation devra donc intervenir après l'entrée en vigueur du RGPD en 2018 pour prendre en compte le nouveau cadre légal.  
  • Une insuffisance de garanties quant au respect des principes clés dans le cadre des traitement de nature commerciale
    • le projet de décision d'adéquation (y compris ses annexes) ne reflète pas les principes fondamentaux posés par la Directive 95/46/CE en matière de protection des données personnelles. Ainsi, notamment le principe de finalité limitée manque de clarté et celui de conservation des données n'est pas clairement mentionné. Il n'existe, par ailleurs, aucune disposition spécifique quant à la protection devant être fournie en cas de décision prise uniquement sur la base d'un traitement automatisé de données;
    • bien que de nouveaux mécanismes de recours soient prévus pour permettre aux personnes concernées d'exercer leurs droits, l'accord n'apporte pas de garanties suffisantes quant au caractère effectif de ces recours dans la mesure où leur mise en œuvre peut s'avérer compliquée et difficile à utiliser pour des européens dans leurs langues respectives. Le G29 demande donc à la Commission de clarifier ces différents moyens de recours, tout en suggérant qu'ilserait opportun d'instituer les autorités européennes de protection des données comme point de contact des personnes concernées en étant susceptibles d'agir pour le compte de ces dernières ;
    • le Privacy Shield ayant également vocation à couvrir les transferts subséquents, l'accord doit veiller à ce que ces transferts effectués par une entité certifiée « Privacy Shield » fournissent un niveau de protection identique en tous points à celui prévu par le Privacy Shield (y compris sur la sécurité nationale du pays destinataire), obligeant ainsi l'entité certifiée à évaluer la loi nationale de chaque pays tiers avant de procéder à de tels transferts.  
  • Une absence de clarté sur les conditions de protection des citoyens européens contre la surveillance massive des autorités publiques

Le G29 relève que les services secrets américains n'apportent pas de garanties suffisamment détaillées en ce qui concerne l'absence d'utilisation de données massives et indiscriminéesvenant de l'Union Européenne dans le cadre des opérations d'espionnage.

Or, une surveillance massive et indiscriminée des individus ne peut être considérée proportionnée et strictement nécessaire dans une société démocratique. Le G29 en appelle à cet égard aux règles qui devraient émaner de la Cour Européenne de Justice sur des cas de surveillance massive en cours et sur lesquels elle doit être amenée à se prononcer.

Par ailleurs, bien que le G29 salue la création du « Ombudsperson » (protecteur des droits) qui constitue une réelle amélioration dans le cas d'activités de surveillance, il considère que cette nouvelle institution ne présente ni les garanties suffisantes d'indépendance, ni les pouvoirs nécessaires pour exercer sa mission et garantir une réparation effective.  

  1. Une position de compromis et non une remise en cause du EU-US Privacy Shield  

L'avis du G29 apparaît comme un compromis entre les positions très favorables au Privacy Shield émanant de nombreuses sociétés outre atlantique et du monde des affaires et celles de ses détracteurs (notamment Max Shrems et les organisations protectrices des droits des personnes).

Il se veut rassurant face à l'incertitude qui domine dans les milieux d'affaires qui attendent avec impatience que la décision d'adéquation soit adoptée.

Suite à la décision Shrems, il appartenait au G29 de conduire une analyse approfondie pour éviter que la décision d'adéquation ne soit à nouveau fragilisée. Il y a donc fort à parier que même si l'avis du G29 n'a aucune valeur contraignante et que la décision d'adéquation peut être considérée comme valable en l'état, la Commission en tienne compte. La seule difficulté est de savoir jusqu'où elle pourra aller, les autorités américaines ayant déjà, lors des négociations, indiqué qu'elles avaient peu de marge de manœuvre pour aller au-delà de ce qui avait été convenu.

  1. Quelles sont les prochaines étapes ?

Le Comité de l'article 31 qui réunit les représentants des différents Etats Membres devra, conformément à la procédure de comitologie, approuver le projet de décision d'adéquation tel qu'éventuellement révisé par la Commission. La Commission pourra ensuite adopter définitivement la décision d'adéquation. En terme de calendrier, l'adoption est prévue pour juin 2016 mais il semble plus probable que la date réelle soit plutôt septembre 2016.

  1. Dans l'intervalle, quelle solution adopter pour les transferts ?

La présidente du G29, Isabelle Falque Pierrotin, a rappelé que les entreprises continuant de fonder leurs transferts sur le Safe Habor étaient en infraction et a confirmé que les autres mécanismes tels que les contrats basés sur les modèles de la Commission Européenne et sur les règles d'entreprise contraignantes restaient la solution à adopter pour le moment.

Bien que le Privacy Shield soit en bonne voie malgré les critiques ainsi formulées, il semble plus prudent de ne pas attendre son adoption pour régulariser les transferts basés sur le Safe Harbor et de se baser sur les mécanismes existants reconnus par le G29.