Le 5 juillet dernier, le Parlement Européen a voté une résolution (303 voix pour, 223 contre et 29 abstentions) concernant l’adéquation assurée par le bouclier de protection des échanges de données entre l’UE et les Etats-Unis (le « Privacy Shield »). Strasbourg se montre critique vis-à-vis du dispositif. Le commerce trans-Atlantique est-il en péril ?

Conformément à l’article 45.1 du GDPR, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale peuvent avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers ou l’organisation internationale en question assure un niveau de protection adéquat. En l’espèce, c’est la décision (UE) 2016/1250 de la Commission relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis qui permet le transfert de données de l’UE aux USA.

Le Parlement est d’avis que l’actuel Privacy Shield n’offre pas le niveau de protection adéquat qui est requis par le droit de l’Union en matière de protection des données. Il a également souligné le risque croissant que la Cour de justice de l’Union européenne puisse invalider la décision d’exécution (UE) 2016/1250 de la Commission sur le bouclier de protection des données.

Plusieurs aspects sont pris en compte par le Parlement pour fonder son opinion.

Premièrement, des aspects institutionnels : le Parlement a souligné que les récentes révélations concernant les pratiques de Facebook et de Cambridge Analytica mettent en exergue la nécessité d’une surveillance en amont et de mesures d’exécution qui prévoient des contrôles systématiques de la conformité des politiques de protection de la vie privée avec les principes du bouclier de protection des données tout au long de la durée de vie de la certification. Le Parlement souligne en effet que Facebook, signataire du Privacy Shield, a confirmé que les données de 2,7 millions de citoyens de l’UE figuraient parmi les données utilisées de manière abusive par le consultant politique Cambridge Analytica.

Ensuite, des aspects commerciaux : les députés ont considéré qu’il n’existe actuellement pas de contrôle efficace permettant de vérifier si les entreprises certifiées respectent effectivement les obligations prévues par le Privacy Shield. Ils plaident pour des examens automatiques, proactifs et réguliers de conformité afin de vérifier le respect effectif des règles par les entreprises. Le Parlement insiste pour que les autorités américaines chargées de faire respecter le Privacy Shield réagissent à des révélations de violation sans délai et, le cas échéant, retirent ces entreprises de la liste du Privacy Shield.

Les Parlementaires ont donc invité la Commission à prendre toutes les mesures nécessaires pour garantir que le Privacy Shield soit entièrement conforme au GDPR (d’application depuis le 25 mai 2018) et à la charte des droits fondamentaux de l’UE pour éviter ainsi que les critères d’adéquation ne se traduisent par des lacunes ou par un avantage concurrentiel pour les entreprises américaines. Le Parlement estime que la Commission n’a pas agi conformément à l’article 45, paragraphe 5, du GDPR, et, à moins que les États-Unis ne se conforment pleinement à leurs obligations d’ici au 1er septembre 2018, le Parlement demande à la Commission de suspendre le bouclier de protection des données jusqu’à ce que les autorités américaines se conforment aux dispositions de l’accord.

La résolution doit être transmise au Conseil, à la Commission, ainsi qu’aux gouvernements et aux parlements des États membres et au Conseil de l’Europe.

Reste donc à attendre la décision des instances concernées et surtout de la Commission. Une affaire à suivre de près par les parties intéressées.