On prend les mêmes, et on recommence. Deux mois après une première conférence de presse dans laquelle il a mis en pause l’ultimatum imposé à la Commission européenne et aux États-Unis pour trouver une solution de remplacement au cadre de transfert des données personnelles d’Européens vers les USA, le groupe G29 qui réunit les CNIL européennes a de nouveau jugé urgent d’attendre, ce mercredi 13 avril 2016. L’ultimatum initial avait été fixé au 31 janvier 2016.
La conférence de ce mercredi était organisée à la mi-journée à Bruxelles pour rendre compte des travaux du G29 concernant l’analyse juridique du « Privacy Shield », du nom du projet d’accord UE / USA censé remplacer le précédent « Safe Harbor » de 2000, invalidé par le Cour de justice de l’Union européenne (CJUE) dans son arrêt Schrems du 6 octobre 2015.
La Commission européenne avait publié en février dernier son projet de « décision d’adéquation » (.pdf) pour faire entrer le Privacy Shield dans l’ordre juridique européen. En vertu de la directive sur la protection des données adoptée en 1995, le document doit autoriser l’emploi du Privacy Shield par les entreprises qui souhaitent transférer facilement des données vers les États-Unis, en présumant que le cadre établi offre aux données et à leurs titulaires une protection équivalente à celle dont bénéficie les Européens chez eux.
Mais les CNIL européennes qui doivent diffuser leur position commune dans la journée ne donneront pas leur satisfecit (mise à jour : les documents ont été publiés, ici et là).
Pas acceptable en l’état
« Notre première réaction était très positive à l’égard du Privacy Shield », a commenté mercredi Isabelle Falque-Pierrotin, qui préside la CNIL et le G29. Cependant, « il reste quelques points qui constituent des inquiétudes ou qui demandent des clarifications ». Les seules assurances supplémentaires données par Washington l’ont été dans un cadre informel, insuffisant pour apporter des garanties aux Européens.
Tout en soulignant que le Privacy Shield apportait « des améliorations importantes par rapport au Safe Harbor » que la CJUE avait jugé trop peu protecteur, les régulateurs européens estiment qu’il reste des obstacles à son feu vert, qui n’est cependant pas obligatoire.
L’accord est jugé imprécis sur un certain nombre de points et de définitions de notions clés, et les recours dont pourraient enfin bénéficier les citoyens européens dont les données sont exploitées abusivement aux USA sont jugés trop complexes à mettre en œuvre. L’indépendance de « l’ombudsman » (le médiateur) prévu par l’administration Obama est par ailleurs mise en doute.
Toujours des possibilités larges de collecte massive
L’accord prévoit aussi six domaines d’exceptions permettant aux autorités américaines de collecter des données en masse pour les traiter, notamment dans le cadre de la lutte contre le terrorisme ou de la protection des intérêts économiques américains, ce qui est jugé trop vaste par le G29. Les exceptions prévues ne sont pas suffisamment détaillées et encadrées pour être acceptables.
Enfin, l’accord est fondé sur un niveau de protection équivalente au cadre actuel du droit européen, mais celui-ci doit bientôt se renforcer grâce à un nouveau cadre juridique censé entrer en vigueur d’ici deux ans. Le Privacy Shield serait donc à peine adopté qu’il risquerait d’être aussitôt périmé, quand bien même serait-il jugé valide aujourd’hui.
[floating-quote float= »right »]La balle est désormais dans le camp de la Commission européenne[/quote]
En conclusion, « étant données les réserves émises, nous pensons qu’il reste du travail à faire, et nous pressons la Commission de prendre en compte ces inquiétudes pour améliorer le projet de mécanisme d’adéquation, et de s’assurer qu’il est effectivement équivalent à la protection de l’Union européenne », demande le groupe.
La balle est désormais dans le camp de la Commission européenne, qui doit en principe adopter sa décision finale sur le Privacy Shield dans le courant du mois de juin. Il est toutefois possible que celle-ci soit repoussée jusqu’en septembre. Si elle venait à ignorer l’avis du G29, la Commission prendrait le risque de voir à nouveau sa décision invalidée par la CJUE, au terme d’un combat judiciaire qui pourrait toutefois prendre plusieurs années.
En attendant, l’ensemble des autres mécanismes utilisés par les entreprises pour exporter des données vers les USA restent utilisables, malgré « l’incertitude juridique » admise par Mme Falque-Pierrotin. Le G29 a décidé de ne rien décider concernant la légalité des BCR (règles internes d’entreprises) ou des clauses contractuelles types que les organisations utilisent en alternative au Safe Harbor, alors que leur illégalité est presque toute aussi certaine. « Rien ne change », a indiqué la présidente de la CNIL.
Cette semaine, le Privacy Shield avait reçu le soutien de Microsoft, à travers un billet de blog signé par le vice-président aux affaires gouvernementales européennes, John Frank. En revanche, en France le Syndicat de la Magistrature a appelé à son rejet. « S’il était signé en l’état, ce projet saborderait la protection des droits fondamentaux à la protection des données et à la vie privée exigée par la Cour de justice », a jugé le syndicat, dans un communiqué signé par tout l’Observatoire des Libertés et du numérique.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !