Accord « Privacy shield » : les CNIL européennes saluent un « progrès » mais réclament des améliorations
Accord « Privacy shield » : les CNIL européennes saluent un « progrès » mais réclament des améliorations
Par Martin Untersinger
Les CNIL européennes ont donné un avis plus conciliant qu’attendu sur le nouvel accord américano-européen sur les données personnelles.
Les CNIL européennes ont donné un avis plus conciliant qu'attendu sur le nouveau traité américano-européen sur les données européennes. | LeMonde.fr
Le G29, groupe rassemblant les autorités de protection des données personnelles des pays membres de l’Union européenne, voit dans l’accord américano-européen dit « bouclier de protection » ou « Privacy shield » un « progrès majeur » pour la protection des données personnelles des citoyens européens transférées aux États-Unis.
Cet accord politique, rendu public en février après deux ans de négociations, doit remplacer le « Safe harbor », un autre accord invalidé à l’automne par la Cour de justice de l’Union européenne (CJUE). Plus de 4 000 entreprises s’appuyaient sur ce texte pour transférer des données personnelles depuis l’Europe vers les États-Unis.
Le « Privacy shield » constitue un « un grand pas en avant » par rapport au « Safe harbor », a expliqué Isabelle Falque-Pierrotin, présidente du G29, mercredi 13 avril lors d’une conférence de presse à Bruxelles. Sur le volet commercial de l’accord, « des efforts ont été faits pour mieux définir les droits et encadrer le transfert des données personnelles », s’est félicitée celle qui est aussi la présidente de la CNIL.
Plusieurs clarifications demandées
Le G29 a cependant relevé plusieurs « sujets d’inquiétude » dans cet accord politique et réclame des « clarifications sur plusieurs points, où il y a encore du travail à faire » de la part de la Commission européenne et le Département américain du commerce, qui ont négocié l’accord.
Mme Falque-Pierrotin a d’abord déploré la « complexité » du texte. « Il est difficile de comprendre tous les documents et les annexes. Il n’y a pas un seul document, mais plusieurs, ainsi que des annexes et des courriers. Certains se contredisent » a-t-elle expliqué.
Sur le fond, elle a aussi regretté que « certains principes fondamentaux de la protection des données personnelles » prévus dans la loi européenne ne soient pas pris en compte par le « Privacy shield ». Ella a notamment évoqué le nombre « très important » de recours offerts aux citoyens européens pour contrôler l’utilisation de leurs données aux États-Unis. « Nous considérons que ce système est trop complexe, qu’il est difficile pour l’individu de trouver le bon interlocuteur » a précisé Mme Falque-Pierrotin appelant à ce que les autorités de protection des données personnelles deviennent « le point de contact naturel » auprès duquel les citoyens pourront faire valoir leurs droits.
Mme Falque-Pierrotin a aussi alerté sur le fait que le « Privacy shield » prend en compte la directive sur les données personnelles de 1995. Or cette dernière va être remplacée par un règlement, plus strict, dont l’adoption est imminente et qui sera appliqué d’ici deux ans. Le G29 réclame donc « que soit intégré au “Privacy shield” une clause de révision pour prendre en compte le nouveau cadre légal ».
Surveillance de masse « encore possible »
Les autorités de protection des données européennes se sont également penchées sur le volet « sécurité nationale » du « Privacy shield », à savoir la manière dont le texte tente d’encadrer l’accès par les agences de renseignement américaines aux données des Européens. Un point fondamental : c’est notamment en évoquant la grande latitude dont disposent ces agences pour puiser dans les données européennes hébergées aux États-Unis que la CJUE avait invalidé le « Safe harbor ».
Le G29, tout en se félicitant que le sujet de la surveillance soit désormais « sur la table », déplore que la « collecte de données, qui est inacceptable lorsqu’elle est massive et indiscriminée » reste possible dans le cadre du « Privacy shield ». Mme Falque-Pierrotin a renvoyé vers une décision que doit rendre d’ici la fin de l’année la Cour de justice de l’Union européenne et qui clarifiera le cadre légal de la collecte de données aux fins de lutte contre le terrorisme.
Le G29 estime aussi ne pas avoir obtenu suffisamment de garanties sur le statut, les pouvoirs et l’indépendance de l’« ombudsman », entité vers laquelle pourront se tourner les citoyens européens pour contrôler l’utilisation faites par les autorités américaines de leurs données.
Des entreprises soulagées
De nombreuses entreprises craignaient que le G29 ne profite de son avis sur le « Privacy shield » pour s’exprimer sur les différents mécanismes qui ont temporairement remplacé le Safe harbor et qui sont devenus nécessaires à de nombreuses entreprises. Interrogée à ce sujet, Mme Falque-Pierrotin a indiqué qu’ils n’étaient pas concernés par son avis du jour tout en rappelant que les entreprises continuant à recourir au « Safe harbor » pour transférer des données était, se mettent depuis plusieurs semaines dans l’illégalité.
L’avis du G29 est bien moins radical qu’anticipé par certains observateurs et opte pour une position de compromis entre les géants des nouvelles technologies, qui militent en faveur du « Privacy shield », et les défenseurs de la vie privée. De quoi expliquer des réactions satisfaites des deux côtés. Pour Max Schrems, le premier plaignant dans les actions en justice contre le « Safe harbor », il s’agit d’une première victoire. Selon lui, derrière le consensus du G29, se dessinent des opinions bien plus tranchées, opposées au texte. Cette disparité d’appréciation par les autorités de protection des données ouvrirait la voie à de nouvelles batailles juridiques : ces dernières disposant du pouvoir de sanctionner les entreprises au sein de leur pays, il est possible que certaines estiment, ultérieurement et à titre individuel, que le « Privacy shield » n’est pas conforme aux standards européens de protection des données et sanctionnent les entreprises en conséquence.
Pour M. Schrems, le « Privacy shield » est « un échec total, maintenu en vie par la pression exercée par le gouvernement américain et certains acteurs de l’industrie », a-t-il réagi peu après la conférence de presse du G29.
Du côté de l’industrie, où l’on craignait un avis beaucoup plus tranché de la part des autorités de protection des données, l’optimisme domine aussi. Pour la Computer and Communications Industry Association, un lobby défendant notamment les intérêts d’Amazon, Facebook ou Google, la décision du G29 constitue « un pas vers l’adoption » du texte. Son directeur, Christian Borggreen, voit la décision du G29 comme « plutôt positive », « équilibrée sur la question de la surveillance » et « encourage les Etats membres à adopter le Privacy shield sans délai pour clarifier la situation légale de milliers d’entreprises européennes et américaines ». « Nous sommes convaincus que le Privacy shield est un cadre légal fonctionnel et que les problèmes potentiels identifiés par [le G29] peuvent être résolus sans compromettre son adoption » a jugé pour sa part John Higgins, le directeur général de DigitalEurope, un autre lobby des nouvelles technologies.