En début d’année, nous évoquions la fin du « Safe Harbor » et la naissance de son successeur, le « Privacy Shield » (Lire l’article de Caroline Jouven : Protection des données personnelles : plus de 3 mois après la décision de la CJUE, l’avenir des transferts outre-Atlantique reste incertain).
A l’époque, les négociations battaient leur plein dans un climat d’urgence, et il a fallu attendre le 29 février 2016 pour que la Commission Européenne publie enfin le texte de l’accord américano-européen. Après s’être prêté à une analyse attentive du texte et de ses annexes, le G29 a finalement donné son avis sur cet accord, à l’occasion de la conférence bruxelloise du 13 avril.
Si des efforts ont été faits, il subsiste néanmoins des sujets d’inquiétude : voilà qui résume le communiqué du groupe de travail rassemblant les CNIL européennes, qui réclament ainsi des clarifications sur plusieurs questions.
Premier point à déplorer, la complexité du texte, qui regroupe une toute une série de documents, annexes et courriers, parfois contradictoires.
Concernant les aspects commerciaux, le G29 estime que certains principes, pourtant fondamentaux à la protection des données personnelles, n’ont pas été correctement exprimés dans l’accord, tels que le principe de limitation de la finalité du traitement, ou le principe de conservation des données.
Finalement, il faut noter également que, la surveillance de masse des données personnelles émanant d’Europe, pratique qui avait abouti à l’annulation de la décision « Safe Harbor », demeure visiblement possible dans le cadre du « Privacy Shield ».
Si des voies de recours additionnelles ont été mises à disposition des justiciables, celles-ci restent trop complexes, et particulièrement pour les citoyens européens. Le G29 appelle donc à davantage de clarifications, et estime notamment souhaitable que les CNILs européennes aient la possibilité de devenir « le point de contact naturel » de ceux qui souhaiteraient exercer leurs droits outre-Atlantique. En outre, si le G29 félicite la mise en place de l’Ombudsman et de son mécanisme de recours offert aux citoyens européens pour contrôler l’utilisation faites par les autorités publiques américaines de leurs données, le groupe de travail regrette le manque d’autonomie de cette entité ainsi que la carence de ses pouvoirs…
A noter que le G29 ne s’est pas prononcé sur la légalité des clauses contractuelles types, ni sur celle des binding corporate rules (mécanismes de transfert alternatif), qu’on suppose dès lors toujours valides. Un sujet de soulagement pour les très nombreuses entreprises concernées. En effet, celles qui continuent à opérer des transferts sur la base d’un « Safe Harbor » sont dans l’illégalité depuis plusieurs semaines, comme le rappelle Mme. Falque-Pierrotin, présidente du G29. Ces deux outils de transferts sont donc devenus indispensables pour palier à l’insécurité juridique actuelle.
On rappellera finalement que, au lendemain de l’annulation de la décision « Safe Harbor », les autorités européennes avaient demandé à ce que des solutions permanentes soient trouvées avant le 31 janvier 2016. Plus de deux mois après cette deadline, des efforts restent encore à faire.
Caroline JOUVEN (Directrice LexRetail) & Selma FERFERA (juriste PI)
Inlex IP Expertise