Le groupe de l’article 29 (G29), qui réunit les différentes Cnil de l’Union européenne, a publié mardi un communiqué pour faire état de sa position sur le Privacy Shield, définitivement adopté le 12 juillet dernier par la Commission européenne. L’accord qui encadre les possibilités d’exportation de données personnelles vers les États-Unis remplace l’ancien Safe Harbor que la Cour de justice de l’Union européenne (CJUE) avait décidé d’invalider en octobre 2015, parce que les protections apportées par le droit européen n’étaient pas assurées aux USA.
Le G29 avait critiqué le projet de Privacy Shield dans un avis du 13 avril 2016, en estimant que toutes les garanties n’étaient toujours pas apportées par la Commission et par les États-Unis, pour prétendre que les Américains apportent aux Européens une « protection équivalente » à celle du droit européen. Entre avril et juillet, les diplomates ont donc continué à affiner le texte en espérant aboutir à un accord qui ferait consensus, mais celui-ci reste critiqué, y compris par le G29.
Dans son communiqué, le groupe des autorités de protection des données européennes dit d’abord « saluer les améliorations apportées par le mécanisme du Privacy Shield comparé à la décision du Safe Harbor » annulée l’an dernier, et « félicite » les négociateurs pour avoir pris en compte ses remarques. Mais aussitôt, le G29 prévient que « plusieurs de ces inquiétudes demeurent ».
Des réserves et une affirmation d’indépendance
Si elles réitèrent certaines réserves sur l’exploitation commerciale des données et le contrôle de l’utilisation faite par les sous-traitants, le groupe dénonce surtout le manque d’encadrement concernant les données accessibles aux services de renseignement. Il rappelle qu’à ses yeux, l’ombudsman (sorte de médiateur) créé par le gouvernement américain pour traiter des plaintes manque d’indépendance et de pouvoirs coercitifs, et qu’au delà des mots, aucune mesure concrète n’est prise pour s’assurer que des collectes massives et sans distinctions de données ne soient pas opérées.
Le groupe, qui avait déjà dit la nécessité de réviser le Privacy Shield dès 2018 après l’entrée en vigueur du nouveau Règlement européen de protection des données, prévient surtout qu’il ne se sent pas pieds et poings liés par la décision de la Commission européenne. Elle a beau prétendre que le Privacy Shield apporte une « protection équivalente » au droit européen, chaque Cnil nationale pourra faire sa propre évaluation, et un avis global du G29 sera réalisé chaque année.
L’épée de Damocles reste donc au dessus de la tête des utilisateurs du Privacy Shield, qui risquent à tout moment de voir les transferts de données suspendus, voire une nouvelle fois invalidés par la CJUE en cas de procédure judiciaire.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !