[Tribune] Quel avenir pour le Privacy Shield?

Par principe, les transferts de données personnelles en dehors de l'Union européenne vers un pays n'assurant pas un niveau de protection adéquat sont interdits. Seuls sont autorisés les flux de données répondant à l'une des exceptions prévues par la loi, au nombre desquelles figurent les décisions de la Commission européenne, à l'instar de celle rendue en 2000, au sujet du Safe Harbour.

Par conséquent, depuis l'invalidation du Safe Harbour par la Cour de justice européenne en octobre 2015, les entreprises qui se trouvent dans l'espace économique européen ne sont plus autorisées à transférer des données personnelles aux 4000 destinataires américains certifiés Safe Harbor. Cela concerne non seulement les données des salariés mais aussi les données des clients et prospects et de manière générale toutes données qui permettent d'identifier directement ou indirectement une personne.

Par conséquent, qu'il s'agisse de filiales d'entreprises américaines ou d'organisations européennes ayant recours à des prestataires américains proposant des solutions de traitement de données en mode Saas, nombre d'entre elles espèrent un dénouement rapide à ce feuilleton juridique.

La constitution d'un nouvel accord de sécurité

À la suite de l'invalidation du Safe Harbour, les autorités américaines et européennes ont travaillé à l'élaboration d'un nouvel accord, du nom de Privacy Shield, qui doit encore être soumis à la Commission. Si cette dernière juge que le nouvel accord présente, pour les données transférées aux États-Unis, un niveau de protection des données équivalent à celui offert au sein de l'Union, elle rendra alors une décision d'adéquation du mécanisme prévu par le Privacy Shield. Courant avril, le groupe des Cnil européennes (G29) a rendu un avis détaillé qui devrait servir de base de discussion aux prochains débats du Parlement européen sur le sujet.

Certes, la Commission n'est pas obligée de tenir compte de la position du Parlement. Néanmoins, la question est bien de savoir si les députés réunis à Strasbourg les 25 et 26 mai aboutiront à une résolution officielle ou si l'on se dirige vers un recours en annulation contre le Privacy Shield une fois validé par la Commission.

Dans son avis, le G29 a pris la précaution d'aborder chaque point en détail, sur la base d'un argumentaire juridique précis tenant compte de la jurisprudence Schrems de la CJUE, qui a invalidé le Safe Harbor. Bien qu'il fasse état de réels progrès, il constate que les garanties prévues par le "Bouclier vie privée" sont loin de répondre aux critères européens de protection des données. Certains principes de la protection des données personnelles sont mal interprétés voire tout simplement omis.

Des mesures insuffisantes

Le G29 constate ainsi que les mesures proposées dans le Privacy Shield ne permettent pas de garantir la proportionnalité du traitement. Les documents ne traitent pas non plus du principe selon lequel les données sont collectées pour une finalité spécifique et ne peuvent être utilisées ultérieurement de manière incompatible. De même, il ne fait pas état de l'obligation de limiter la durée de conservation des données. Les entreprises américaines destinataires des données des Européens pourraient donc les conserver même si elles n'adhéraient plus au Privacy Shield.

Les droits des personnes ne sont pas suffisamment garantis. Le Bouclier ne prévoit pas de mesures de sauvegarde des droits des personnes contre les traitements automatiques destinés à évaluer leurs caractéristiques à des fins de profilage et d'analyse comportementale, par exemple. Les voies de recours sont inopérantes. Elles sont en effet très complexes et les personnes ne peuvent exercer de recours au sein de l'UE.

Le processus d'adhésion d'une organisation au Bouclier vie privée ne prévoit pas de contrôle de ses engagements. Il n'y a pas de définition claire des pouvoirs d'investigation sur site des autorités américaines ni des modalités d'exequatur des décisions rendues par les autorités européennes en cas de violation des principes.

L'accord prévoit de trop nombreuses exceptions permettant de s'affranchir du respect des principes de protection des données. Contrairement à ce que laisse entendre le Privacy Shield, les Cnil européennes rappellent que des données agrégées ou codées n'excluent pas une éventuelle réidentification et qu'à ce titre, elles doivent être traitées comme des données à caractère personnel. De même, les données de santé ne sauraient faire l'objet de traitement visant à suivre les patients (tracking).

Les mesures proposées n'empêchent toujours pas la collecte massive et indiscriminée de données personnelles. En effet, la section 702 du FISA (Foreign intelligence surveillance act) permet toujours aux autorités américaines de collecter des données de "non-Américains" pour des activités de renseignements c'est-à-dire pour tout ce qui a trait aux affaires étrangères.

Malgré des avancées notables par rapport au Safe Harbour, le Privacy Shield n'offre toujours pas un niveau équivalent de protection des données personnelles. On suivra donc avec attention la position du Parlement dans les prochains jours, avant celle de la Commission. Exercice de haute voltige, s'il en est, pour la Commission européenne, qui devra satisfaire l'ensemble des intérêts en présence, tout en évitant que sa décision fasse l'objet d'un recours en annulation.

L'experte:

Florence Bonnet, présidente de CIL Consulting, société de conseil en protection des données: formalités et conformité Cnil, sécurité des données personnelles, correspondant Informatique et libertés.