En juillet 2016, la Commission européenne a approuvé l’accord sur le transfert de données entre les États-Unis et l’Union Européenne (UE). Le Privacy Shield (bouclier de protection des données personnelles) est venu remplacer le Safe Harbor, jugé inadapté et invalidé par la Cour de Justice de l’Union Européenne (CJUE) en octobre 2015. Mais ce nouveau texte est loin de faire l’unanimité. Plusieurs recours en annulation sont en cours.
Si le G29, groupement des CNIL européennes, compte sur la révision annuelle de juillet 2017 pour faire un premier bilan des garanties prévues par le Privacy Shield, certaines organisations ont d’ores et déjà fait part de leurs inquiétudes sur ce texte. « Je suis convaincue que le Privacy Shield restaurera la confiance des Européens dans la façon dont leurs données personnelles sont transférées à travers l’Atlantique et traitées par les entreprises sur place », avait pourtant déclaré Vera Jourova, commissaire européenne à la justice.
Deux recours en annulation en Europe
La première remise en cause est venue d’Irlande. Digital Rights, un groupe de défense de la vie privée sur Internet, a déposé un recours au mois d’octobre 2016 auprès du Tribunal de l’UE pour demander l’annulation pure et simple de cet accord. Le groupe de travail des « Exégètes amateurs » (qui rassemble trois associations françaises : La Quadrature du Net, French Data Network et la Fédération FDN) lui a emboîté le pas pour obtenir l’annulation de la « décision d’exécution » à travers laquelle les membres de l’Union ont donné leur accord au Privacy Shield.
« L’état actuel du texte ne répare aucune des failles du passé : l’accès aux données personnelles des citoyens européens collectées en masse à des fins de sécurité nationale reste possible aux États-Unis, et l’absence de recours pointée par la CJUE lors de l’annulation du Safe Harbor n’est pas réellement corrigée », explique la Quadrature du Net. Dans le cadre de sa plainte, le groupe de travail considère que la décision d’exécution est contraire aux articles 7,8 et 47 de la Charte des droits fondamentaux de l’Union Européenne. Selon l’article 8, « toute personne a droit à la protection des données à caractère personnel la concernant ». Le texte précise que « ces données doivent être traitées loyalement, à des fins déterminées, et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi ».
L’UFC-Que-Choisir monte au créneau
Suite à l’adoption de la décision relative au bouclier de protection de la vie privée en juillet 2016, l’UFC-Que-Choisir a déclaré se donner « le temps d’analyser le texte en profondeur et en cas de garanties insuffisantes, ne manquera pas d’engager toute action propre à faire respecter les droits des consommateurs ». Quelques mois plus tard, en décembre 2016, l’organisme a fait part de son intention d’intervenir en soutien des deux recours en annulation contre le Privacy Shield, afin d’encourager la protection des données personnelles.
« Les lois américaines autorisent encore aujourd’hui, malgré les critiques formulées dans le cadre de l’invalidation du Safe Harbor, la collecte massive d’informations par la NSA et les services de renseignement américains auprès des entreprises détentrices de données personnelles, incluant des données de consommateurs français qui ont été transférées aux États-Unis », s’inquiète l’UFC-Que-Choisir.
« Un ersatz de droit au recours des consommateurs européens »
L’association s’est également intéressée aux recours à la disposition des citoyens européens. Selon elle, « le dispositif de réclamation prévu par le Privacy Shield est stratifié et complexe ». L’UFC-Que-Choisir rappelle que « le principal recours en cas de décision préjudiciable rendue par les autorités américaines à l’encontre d’un ressortissant européen, est un médiateur… nommé par le Secrétaire d’état américain ».
En avril 2016, avant son adoption, le G29 (regroupement des CNIL européennes) a émis plusieurs réserves sur le texte, au motif qu’il n’assurait pas une protection des données personnelles des citoyens européens suffisante, une fois qu’elles ont traversé l’Atlantique. « Rien n’oblige la Commission européenne à tenir compte de l’avis du G29. Mais sans rectification de ces insuffisances manifestes, elle court le risque de voir se multiplier les procédures judiciaires qui pourraient aboutir à une invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne », avait alors déclaré l’UFC-Que-Choisir.
En savoir +
Qu’apporte réellement « Privacy Shield » pour la protection des données européennes ?
Protection des données personnelles : un défi majeur pour les entreprises
Ebook : Comment préserver au mieux vos données stratégiques ?
