Les Américains doivent faire davantage pour protéger convenablement les données personnelles de la population européenne qui sont transférées aux États-Unis. Voilà, en somme, l’opinion générale du Comité européen de la protection des données (CEPD), dont est membre la Commission nationale de l’informatique et des libertés (CNIL), au sujet du Privacy Shield.
Le CEPD, dont le rôle est de s’assurer du bon respect et de l’application cohérente du Règlement général sur la protection des données (RGPD), mais aussi « d’encourager la coopération » entre les autorités compétentes, a en effet bouclé le 22 janvier 2019 son deuxième examen annuel de ce dispositif transatlantique, adopté en juillet 2016 après l’invalidation d’un précédent mécanisme, le Safe Harbor.
Des efforts remarqués
Adopté pendant la sixième assemblée plénière du CEPD, qui s’est tenue les 22 et 23 janvier, ce rapport reconnaît les efforts qui ont été accomplis par les autorités américaines et la Commission européenne — les deux parties ayant négocié le Privacy Shield — pour rendre cet accord intercontinental plus conforme aux souhaits du Vieux Continent et lever plusieurs points de friction.
Ainsi, les 20 instances de protection des données personnelles de l’Union apprécient la nomination récente d’un ombudsperson permanent (celui-ci a un rôle de médiateur. Poste créé par le gouvernement américain, il doit traiter les plaintes liées au Privacy Shield), la publication de documents-clés, dont certains ont nécessité une déclassification, et la mise en place de diverses mesures de contrôle.
…mais des insuffisances qui demeurent
Mais le rapport évoque aussi des insuffisances qui continuent d’ennuyer les membres du CEPD. Certaines d’entre elles étaient déjà pointées du doigt il y a quelques années par l’ancêtre du CEPD, le G29. C’est le cas des garanties américaines qui doivent faire en sorte d’exclure la collecte et l’accès sans discrimination (c’est-à-dire sans ciblage justifié) aux données personnelles au nom de la sécurité nationale .
Le CEPD ajoute qu’il ne peut actuellement pas considérer que le médiateur est investi de pouvoirs suffisants pour remédier au non-respect des dispositions, et que les contrôles au sujet du respect des principes du Privacy Shield « ne sont pas suffisamment rigoureux ». D’autres points interpellent aussi le CEP, comme le processus de re-certification des entreprises, qui ne donne pas entière satisfaction.
Le CEPD regrette enfin que des questions posées lors de son premier examen annuel demeurent aujourd’hui sans réponse.
Outre les travaux du Comité européen de la protection des données, le Privacy Shield est soumis à un examen annuel de la part de la Commission européenne. Celui-ci a été validé à deux reprises par Bruxelles, en 2017 et en 2018. L’année dernière, les services de Jean-Claude Juncker ont estimé que le Privacy Shield offre un « niveau adéquat de protection », mais que des faiblesses demeurent.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !