Les Cnil taclent le Privacy Shield

Comme prévu, le G29 vient de rendre son avis sur le Privacy Shield (« Bouclier vie privée »), cet accord qui doit encadrer le transfert des données des citoyens européens vers les États-Unis. En un mot ? Peut mieux faire ! La Cnil (Commission nationale de l’informatique et des libertés) et ses homologues ont en effet émis plusieurs réserves sur le texte, qui ne protège pas suffisamment les données personnelles des citoyens européens une fois qu’elles ont traversé l’Atlantique. Isabelle Falque-Pierrotin, présidente du groupe de travail (mais aussi de la Cnil) a salué « un grand pas en avant » par rapport au précédent accord, le Safe harbor, que le Privacy Shield doit remplacer. Mais elle a aussi déploré la complexité d’un texte fait de documents, d’annexes et de courriers parfois contradictoires.

En l’état, le G29 émet plusieurs réserves. Sur le volet commercial du texte, le groupe estime que certains principes élémentaires de la protection des données ne sont pas assez clairement définis. Le principe de conservation, qui veut que les données soient supprimées une fois l’objectif de la collecte atteint, n’est par exemple mentionné nulle part dans l’accord. Autre exemple, les autorités de protection des données devraient être identifiées comme interlocuteur pour accompagner les consommateurs dans les méandres des procédures, ce qui n’est pas le cas. Enfin, le G29 souhaiterait qu’une clause prévoie d’adapter le Privacy Shield au Règlement européen sur la protection des données personnelles, qui entrera en application en 2018 (il remplacera enfin la réglementation obsolète et disparate qui régit actuellement la vie privée des consommateurs de 28 pays européens).

Les Cnil européennes se sont également prononcées sur le volet du Privacy Shield qui concerne la sécurité nationale. Contrairement à ce que laissait entendre la Commission européenne en février dernier, lors de la présentation de l’accord, le texte n’encadre pas assez rigoureusement la surveillance de masse. Le G29 émet enfin des réserves sur le poste de médiateur créé par l’accord pour recueillir les plaintes des citoyens lorsqu’ils estiment que leurs données ont fait l’objet d’un traitement abusif. Son rôle, ses pouvoirs réels et son indépendance doivent être précisément définis dans l’accord, ce qui n’est pas le cas.

Rien n’oblige la Commission européenne à tenir compte de l’avis du G29. Mais sans rectification de ces insuffisances manifestes, elle court le risque de voir se multiplier les procédures judiciaires qui pourraient aboutir à une invalidation du Privacy Shield par la Cour de justice de l’Union européenne. Et ce pour la même raison qui a déjà conduit à l’invalidation du Safe Harbor en octobre 2015 : un niveau de protection des droits fondamentaux inférieur à celui garanti au sein de l’Union lorsque les données ont migré aux États-Unis.