[Communiqué G29] Publication de l’avis du G29 sur l’accord Privacy Shield
A la suite de la publication par la Commission Européenne de son projet de décision d’adéquation sur le "privacy shield" et de ses annexes le 29 février, le G29 a publié son avis mercredi 13 avril 2016.
Le G29 a mené son analyse à la lumière du cadre juridique européen applicable en matière de protection des données (Directive 95/46/EC), ainsi que des droits fondamentaux à la vie privée et à la protection des données garantis tant par la Convention européenne des droits de l’Homme (Article 8) que par la Charte des droits fondamentaux de l’Union européenne (Articles 7 & 8).
L’objectif de cette analyse consiste à s’assurer que les transferts de données personnelles qui seront réalisés dans le cadre du Privacy Shield respectent un niveau de protection « essentiellement équivalent » aux exigences européennes, pour reprendre l’expression utilisée par la Cour de justice de l’Union européenne dans l’arrêt Schrems du 6 octobre 2015.
Le G29 tient tout d’abord à souligner les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001.
Celles-ci portent notamment sur :
- l’insertion de définition clés ;
- les mécanismes mis en place pour assurer le contrôle du respect des principes garantis par le Privacy Shield et notamment les audits de conformité internes et externes.
Néanmoins, d’importantes préoccupations demeurent concernant le volet commercial du Privacy Shield et l’accès par les autorités publiques aux données transférées dans le cadre de l’accord Privay Shield.
En remarque préalable, le G29 déplore que le Privacy Shield se compose d’une grande variété de documents. De ce fait, les principes et les garanties apportées par le Privacy Shield se retrouvent à la fois dans la décision d’adéquation et dans ses annexes, ce qui rend l’analyse complexe et contribue à un manque général de clarté.
Le G29 rappelle qu’une cohérence doit exister entre les garanties apportées par le Privacy Shield et celles prévues par le cadre légal européen actuel (Directive de 95), qu’il s’agisse du champ d’application ou de la terminologie employée. A cet égard, le G29 propose l’insertion d’une clause de révision afin que le Privacy Shield prenne en compte le niveau élevé de protection qui sera garanti par le nouveau règlement européen sur les données personnelles quand celui-ci entrera en application.
En ce qui concerne le volet commercial, le G29 considère que des principes clés de la protection des données tels que définis dans la loi européenne n’ont pas leur équivalent dans la décision d’adéquation et les annexes ou ont été remplacés de façon inadéquate par des notions alternatives. En particulier, les modalités d’application du principe de finalité limitée du traitement de données demeurent peu claires. Le principe de durée de conservation limitée des données n’est pas expressément mentionné et ne peut pas se déduire de façon précise en l’état des documents analysés. De plus, il n’existe pas de disposition dédiée à la protection qui devrait être offerte lorsque des décisions individuelles automatisées sont prises sur le seul fondement d’un traitement automatisé de données.
Dans la mesure où le Privacy Shield servira également de cadre pour le transfert de données en dehors des Etats-Unis, le G29 insiste pour que les transferts vers des pays tiers garantissent un niveau de protection identique sur tous les aspects du Shield (y compris en matière de sécurité nationale) et n’aboutissent pas à affaiblir ou contourner les principes européens de protection des données.
Même si le G29 prend acte des possibilités nouvelles de recours offertes aux individus pour exercer leurs droits, il remarque que ce mécanisme risque d’être complexe en pratique et difficile à utiliser pour les personnes, notamment du fait qu’il ne s’exercerait qu’en anglais et qu’il pourrait, de ce fait, ne pas offrir une garantie effective. Des précisions doivent donc être apportées sur ces procédures de recours ; en particulier les autorités nationales de protection des données qui le souhaitent devraient pouvoir servir de point de contact pour les citoyens européens et avoir la possibilité d’exercer les recours en leur nom.
En ce qui concerne l’accès par les autorités publiques aux données transférées dans le cadre du Privacy Shield, le G29 déplore que les autorités américaines n’aient pas apporté d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Il rappelle qu’il a toujours condamné cette surveillance massive et indiscriminée, qui n’est pas acceptable dans une société démocratique. Le G29 prend note de la tendance à collecter toujours plus de données dans le cadre de la lutte conte le terrorisme. Etant données les préoccupations que cela implique en terme de protection des droits fondamentaux à la vie privée et à la protection des données, le G29 suivra avec attention les décisions prochaines de la CJUE relatives à des cas de collecte massive et indiscriminée.
Par ailleurs, le G29 salue la mise en place d’un médiateur (Ombudsperson). Ce mécanisme de recours nouvellement offert devrait améliorer considérablement les droits des citoyens européens vis-à-vis des activités des services de renseignement américains. Néanmoins, le G29 doute qu’il dispose d’une indépendance et de pouvoirs suffisants pour exercer son rôle efficacement et qu’il permette d’obtenir un recours satisfaisant en cas de désaccord avec l’administration.
En conclusion, le G29 constate les améliorations apportées par le Privacy Shield par rapport au Safe Harbor. Cependant, il demande à la Commission de répondre aux sérieuses préoccupations exprimées et d’apporter les précisions nécessaires afin d’améliorer le projet de décision d’adéquation et de garantir un niveau de protection des données personnelles essentiellement équivalent au niveau exigé par l’Union européenne.