Privacy Shield : Bruxelles s’en satisfait mais perçoit des axes d’amélioration

CloudLégislationRégulations
privacy-shield-bruxelles

Bruxelles suggère un renforcement de certaines garanties associées au Privacy Shield, entre autres face à la surveillance au motif de sécurité nationale.

Les structures et les procédures adéquates ont été mises en place pour assurer un bon fonctionnement, mais certains aspects pourraient être améliorés.

C’est, dans les grandes lignes, le constat qui a résulté de l’examen, les 18 et 19 septembre derniers à Washington, du Privacy Shield.

Ayant pris part, aux côtés du gouvernement américain et des CNIL européennes, à la première évaluation annuelle de ce dispositif destiné à encadrer les flux transatlantiques de données personnelles, la Commission européenne s’en fait l’écho dans un rapport (document PDF, 7 pages) publié ce 18 octobre.

Adopté par Bruxelles le 12 juillet 2016 et entré en vigueur le 1er août de la même année, le texte succède au Safe Harbor, que la Cour de justice de l’Union européenne avait invalidé le 6 octobre 2015 dans le cadre d’une procédure intentée contre Facebook par un résident autrichien.

Il constitue une « décision d’adéquation » par laquelle les 28 États membres de l’UE – auxquels s’ajoutent la Norvège, le Liechtenstein et l’Islande, sous l’égide du groupe « Article 31 » – reconnaissent que les États-Unis apportent un niveau suffisant de protection des données personnelles.

En conséquence, sous réserve de répondre aux exigences inscrites dans le texte, une entreprise peut transférer, sans restrictions, des données de citoyens européens vers l’autre côté de l’Atlantique.

Passerelles transatlantiques

Par rapport à l’ère Safe Harbor, la Commission européenne perçoit des améliorations, concernant notamment les obligations rattachées à la conservation de données et à leur communication à des tiers.

Elle note aussi que le département américain du Commerce (DoC) exerce une surveillance « plus régulière et plus rigoureuse », tout en offrant aux citoyens de l’UE davantage de mécanismes pour obtenir réparation… et de garde-fous face à l’accès à leurs données par les autorités U.S.

Le DoC a par ailleurs, depuis l’entrée en vigueur du texte, amélioré le traitement des demandes d’entreprises qui souhaitent être « certifiées Privacy Shield ». Ces dernières sont aujourd’hui plus de 2 400 – un nombre qui n’avait été atteint qu’en dix ans sous le régime du Safe Harbor.

En un an, on a également pu constater, selon Bruxelles, un renforcement des mécanismes de coopération avec les autorités européennes de protection des données, par exemple au travers d’un formulaire unique pour le signalement de sociétés.

Un FISA pour tous

La Commission se satisfait en outre des garde-fous introduits pour limiter l’accès à des données au motif de sécurité nationale. Elle invite cependant l’administration Trump a entériner, au sein du Foreign Intelligence Surveillance Act (FISA), les dispositions de la directive présidentielle PPD-28.

Le Congrès débat actuellement d’une réforme dudit FISA, au niveau de la section 702, qui doit faire l’objet d’une revalidation pour le 1er janvier 2018.

Elle constitue la base légale sur laquelle les autorités américaines s’appuient pour obtenir un droit de regard sur les données de citoyens européens transférées vers les États-Unis sous le couvert du Privacy Shield.

Signée en 2014 par Barack Obama, la PPD-28 pose des limites à la collecte et à l’exploitation, au nom de la sécurité nationale, de données personnelles associées à tout individu, indépendamment de sa nationalité et de son lieu de résidence.

La Commission européenne demande que ces dispositions soient intégrées dans la section 702 du FISA.

Au DoC, elle recommande de rechercher régulièrement, de manière spontanée, les entreprises qui se déclareraient « Privacy Shield-compatibles » sans l’être réellement. En première ligne, celles qui ont déposé une demande, mais n’ont pas encore obtenu de certification.

Sur le volet coopération, il est suggéré au DoC et aux CNIL européennes de développer, éventuellement en association avec la FTC (gendarme de la concurrence aux États-Unis), des méthodes communes d’interprétation de certains principes qui « mériteraient clarification ». Entre autres, la question de la responsabilité lors des transferts à des tiers agissant comme contrôleurs.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur