Le Privacy Shield a soufflé sa première bougie. Cet accord, signé entre les Etats-Unis et l’Union européenne, encadre les transferts de données des citoyens européens par les entreprises américaines. Déjà très controversé lors de son adoption en 2016, le texte fait encore débat aujourd’hui. Où en sommes-nous, un an après ?
Depuis l’adoption de la décision d’adéquation par la Commission européenne, plus de 2400 entreprises ont rejoint le Privacy Shield. Elles s’engagent à respecter un certain nombre de principes concernant les données qu’elles collectent et traitent chaque jour. « Privacy Shield a une importance vitale pour les entreprises américaines et européennes afin qu’elles puissent continuer à transférer des données à travers l’Atlantique, à faire des affaires en plus d’établir un niveau élevé pour la protection des données des consommateurs », a déclaré Kara Sutton, membre de la chambre de commerce américaine.
Identifier les éléments perfectibles
Des représentants de l’UE et des États-Unis se sont retrouvés à Washington courant septembre dernier pour faire un bilan de la première année du Privacy Shield, et identifier les éléments perfectibles du dispositif. Les participants à cette évaluation ont reconnu la valeur de la communication régulière entre les États-Unis et les autorités de l’UE. Pour sa part, le gouvernement américain estime que « l’engagement de la Maison Blanche envers le Privacy Shield ne peut être plus fort ».
« Les autorités américaines ont mis en place les structures et procédures nécessaires pour garantir le bon fonctionnement du bouclier de protection des données », a déclaré Bruxelles. La Commission fait notamment référence au fait que les Européens ont désormais accès à « de nouvelles possibilités de recours ».
Encore trop de zones d’ombres
Si les représentants américains comme européens sont globalement optimistes quant au bilan de cette première année, les réactions sont quelque peu différentes du côté de certains organismes comme le G29 ou le CNNum (Conseil National du Numérique) qui appelle à une « renégociation » du dispositif. Le Privacy Shield « présente un trop grand nombre de zones d’ombres et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens », a expliqué le Conseil.
Selon les membres du CNNum, le Privacy Shield ne peut être qu’une étape avant « la négociation d’un accord plus robuste juridiquement, pour garantir la protection des données personnelles de tous les Européens, dans un cadre suffisamment stable » pour les entreprises européennes.
Le Conseil du Numérique s’inquiète notamment vis-à-vis du décret de l’administration Trump qui prévoit que les agences de renseignements (NSA, FBI…) « devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains ». Autre source d’inquiétude : les nouvelles règles permettant, depuis janvier 2017, à la NSA de partager avec d’autres agences comme le FBI, de grandes quantités de données collectées sans mandat, ni décision de justice ou autorisation du Congrès.
Construire une relation plus saine entre les deux rives de l’Atlantique
Suite aux déclarations du CNNum, EuroCloud a tenu également à rappeler sa position à propos de l’accord UE/États-Unis. « S’opposer à cet accord aujourd’hui va dans le sens d’une Union Européenne ferme et cohérente, qui va demain faire appliquer le RGPD. Ce règlement apporte des garanties fortes pour le respect des données des ressortissants européens, ce à quoi le Privacy Shield ne participe qu’en apparence », a déclaré l’association dans un communiqué. « Il ne faut pas que nos partenaires américains imposent leur droit pour tout ce qui relève de la protection des données des citoyens européens. C’est l’une des conditions pour la construction d’une relation plus saine entre les deux rives de l’océan Atlantique ».
Pour rappel : Le Privacy Shield est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Source : CNIL