Privacy Shield : le G29 exprime ses réserves face à certaines mesures prévues par l'accord

Le groupe regrette le manque de garanties concrètes

La Cour de justice européenne a annulé l'accord Safe Harbor en octobre dernier, estimant que les données des Européens n'étaient pas suffisamment protégées lorsqu'elles étaient transférées aux États-Unis.

Après plusieurs mois de négociations depuis l’échec du Safe Habor, l’Union européenne et les États-Unis sont parvenus à trouver un nouvel accord, le Privacy Shield, dont le premier draft a été publié en fin février. En début juillet, la Commission européenne a validé ce nouvel accord qui est donc déjà entré en vigueur.

Parmi les principes que les entreprises doivent respecter, figurent entre autres :

• le Choice Principle : les entreprises doivent laisser à l’utilisateur la possibilité de s’opposer à une transmission de la donnée à un acteur tiers. Elles doivent également obtenir le consentement explicite des utilisateurs pour les données dites sensibles ;
• le Security Principle  : ici sont définies des contraintes de sécurité que les entreprises doivent respecter ;
• le Data Integrity and Purpose Limitation Principle : il est stipulé que les données personnelles soient limitées aux seules informations nécessaires au traitement, être tenues à jour, exactes, complètes et adaptées à leur utilisation ;
• l'Access Principle : il est question de donner aux utilisateurs la possibilité de demander à une entreprise si elle exploite leurs données personnelles et les obtenir dans un délai « raisonnable ».

Le G29, le groupe qui rassemble les autorités de protection de la vie privée en Europe, parmi lesquelles la CNIL française a rendu publique, après une réunion lundi 25 juillet, son analyse, plutôt critique, de cet accord négocié par la Commission européenne et les États-Unis.

Tout d’abord, le G29 a tenu à saluer les améliorations apportées par les mécanismes de Privacy Shield, comparé à Safe Harbor. Le groupe a également remercié la Commission européenne ainsi que les autorités américaines d’avoir pris son avis en considération dans la rédaction de la version finale des documents relatifs à Privacy Shield.

Toutefois, le groupe regrette que certaines des dispositions essentielles soient trop faibles, et notamment celles concernant la surveillance de masse exercée par les services de renseignement américains, mais aussi sur l’aspect commercial.

« En ce qui concerne les aspects commerciaux, le G29 regrette, par exemple, l'absence de règles spécifiques sur les décisions automatisées et/ou d'un droit général à s’y opposer. Il reste aussi difficile de savoir comment les principes de Privacy Shield seront applicables aux sous-traitants.

En ce qui concerne l'accès par les pouvoirs publics aux données transférées aux États-Unis via le Privacy Shield, le G29 aurait prévu des garanties plus strictes concernant l'indépendance et les pouvoirs du mécanisme de Ombudsperson. En ce qui concerne la collecte de masse des données personnelles, le G29 note l'engagement de la ODNI à ne pas procéder à la collecte en masse de données personnelles sans discernement. Néanmoins, il regrette le manque d'assurances concrètes que cette pratique n'aura pas lieu ».

Pour rappel, un ombudsman est une personne indépendante et objective qui enquête sur les plaintes des gens contre les organismes gouvernementaux et autres organisations, tant du secteur public que privé. Après un examen approfondi et impartial, il détermine si la plainte est fondée et formule des recommandations à l'intention de l'organisation afin de régler le problème.

Dans la plupart des contextes, l'« ombudsman » se réfère à un fonctionnaire nommé pour contrôler l'activité du gouvernement dans l'intérêt du citoyen, et pour surveiller le suivi des plaintes du citoyen contre l'État. Si l'Ombudsman trouve une plainte justifiée, il produit un rapport et en effectue un suivi jusqu'à réparation. L'Ombudsman n'agit pas en justice. Il tient son autorité du mandat qui lui a été confié, soit par l'autorité suprême du pays (président, roi...), soit par une assemblée de représentants, généralement des députés.

Le groupe se montre également très critique envers une disposition du Privacy Shield, qui prévoit que tout citoyen européen puisse demander réparation, auprès des tribunaux américains, en cas de mauvaise utilisation de ses données.

« En pratique, ce nouveau mécanisme pourrait s’avérer trop complexe à utiliser pour des citoyens européens, notamment lorsqu’ils ne sont pas anglophones, et donc s’avérer inefficace ». Aussi, le G29 recommande que les CNIL nationales puissent servir d’intermédiaire pour ces procédures.

« Le premier examen annuel conjoint sera donc un moment clé pour évaluer de la robustesse et de l'efficacité du mécanisme Privacy Shield », ont estimé les régulateurs. « Lorsqu’ils participeront à l’examen, les représentants nationaux du G29 ne vont pas seulement se prononcer sur la résolution ou non des problèmes soulevés en sus, mais ils vont également dire si les garanties prévues par Privacy Shield sont réalisables et efficaces ».

Source : communiqué du G29 (au format PDF)

Voir aussi :

Antitrust : la Commission européenne pourrait alourdir les charges qui pèsent sur Google pour abus de position dominante sur son comparateur de prix

Bruxelles injecte 450 millions d'euros dans son programme visant à renforcer la cybersécurité à l'échelle de l'Union européenne

La Commission européenne s'apprêterait à ouvrir un troisième front contre Google se tournant cette fois vers les services publicitaires de la firme