Un bouclier en papier selon les CNIL européennes !

Rappelez-vous ! En octobre dernier, je me félicitais de la décision de la Cour de justice de l'Union européenne d’invalider le Safe Harbour, au motif que les Etats-Unis n’offraient pas une protection suffisante des données personnelles par rapport à la législation en vigueur dans l’Union européenne. Depuis, la situation demeure floue avec plusieurs entreprises signataires de l’ancien Safe Harbour se trouvant dans l’illégalité dès lors qu’elles transfèrent des données collectées en Europe vers les Etats-Unis. Pour remédier à cette situation, les négociateurs des deux continents ont présenté le 29 février le « Privacy Shield », un nouveau projet d’accord censé répondre aux critiques de la Cour et garantir une équivalence de protection entre les deux continents.

Présenté en grande pompe par la Commission européenne, ce «bouclier de protection des données UE-États-Unis» (en français) m’a laissé quelque peu sur ma faim… Aurais-je crié victoire un peu trop vite… ? Je ne peux en tout cas que me ranger à l’avis des CNIL européennes, réunies au sein du groupe « G29 », rendu le 15 avril, qui exprime de « sérieuses préoccupations », malgré les quelques améliorations relevées. A titre d’exemple, le principe de finalité des données qui n’autorise la collecte d’une donnée que pour un usage délimité et légitime n’apparaît pas clairement dans le projet de décision, laissant encore beaucoup trop de place aux pratiques de collecte massive outre-Atlantique. De même, à ce stade, les mécanismes d’action en réparation semblent trop complexes pour que les consommateurs européens puissent pleinement bénéficier d’une protection efficiente aux Etats-Unis. Surtout, et alors que le nouveau règlement relatif aux données personnelles vient d’être adopté, aucune clause de révision n’est prévue, de sorte que l’accord demeure calqué sur des dispositions datant de… 1995. Autrement dit, ce bouclier souffre d’obsolescence programmée… pour 2018.

Faut-il rappeler que si le droit au respect de la vie privée est érigé en liberté fondamentale au sein de l’UE, il n’en est rien aux Etats-Unis où par ailleurs, les données personnelles ne font l’objet d’une protection législative que dans certains domaines précis. Les préoccupations relevées par le G29, bien qu’elles ne soient pas contraignantes, doivent être interprétées à la lumière de ces différences. Ce seront en effet ces mêmes autorités européennes qui seront saisies des plaintes de consommateurs européens lésés et donc, aptes à trancher ces litiges avec les entreprises américaines… Cet avis ne devrait donc pas passer inaperçu auprès de la Commission européenne qui – je l’espère – saisira le message politique envoyé par le G29 avant d’adopter la décision finale.