Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield (bouclier de protection des données UE-États-Unis)

29 juillet 2016

Le 12 juillet 2016, la Commission européenne a adopté la décision d'adéquation sur le Privacy Shield. Le G29 salue les améliorations apportées par le Privacy Shield par rapport au Safe Harbour. Dans son avis WP238 du 13 avril 2016 relatif à la décision d'adéquation du Privacy Shield, le G29 a exprimé des inquiétudes et a demandé diverses clarifications

Certaines d’entre elles ont été prises en compte par la Commission et les autorités américaines dans la version finale des documents relatifs au Privacy Shield.

Néanmoins, d'importantes préoccupations demeurent concernant à la fois le volet commercial et l'accès par les autorités publiques américaines aux données transférées par l'Union européenne.

En ce qui concerne le volet commercial, le G29 regrette, par exemple, le manque de règles spécifiques pour les décisions automatisées et l'absence d’un droit d’opposition. La manière dont les principes du Privacy Shield vont être appliqués aux sous-traitants mériterait d’être davantage explicitée.

En ce qui concerne l'accès par les autorités publiques aux données transférées aux États-Unis dans le cadre du Privacy Shield, le G29 aurait souhaité des garanties plus strictes concernant l'indépendance du médiateur (Ombudsperson) et les pouvoirs qui lui sont accordés. Le G29 note l'engagement du Bureau du directeur des services de renseignement américains (Office of the Director of National Intelligence – ODNI) à ne pas effectuer de collecte massive et indiscriminée de données personnelles. Néanmoins, il regrette le manque de garanties concrètes permettant d’éviter que de telles pratiques aient lieu.

La première évaluation annuelle conjointe sera donc un moment clé permettant d’évaluer la robustesse et l’effectivité des garanties prévues par le Privacy Shield. La compétence des autorités de protection des données impliquées dans cette évaluation devra donc être clairement définie.

Plus particulièrement, tous les membres de l'équipe d’évaluation doivent pouvoir accéder directement à toutes les informations nécessaires à celle-ci, y compris aux éléments permettant d'évaluer la proportionnalité de la collecte et de l’accès des autorités publiques américaines aux données transférées dans le cadre du Privacy Shield.

Lors de leur participation à la procédure d’évaluation, les représentants du G29 détermineront non seulement si des préoccupations demeurent  mais également si les garanties proposées dans le cadre du Privacy Shield sont effectives. Les résultats de la première évaluation conjointe concernant l'accès par les autorités publiques américaines aux données transférées dans le cadre du Privacy Shield sont susceptibles d’avoir un impact sur les outils de transfert tels que les règles d'entreprise contraignantes (RCE) ou les clauses contractuelles types (CCT).

Suite à l’adoption du Privacy Shield et conformément à la décision de la CJUE d’octobre 2015 et à l’avis du 13 avril 2016, le G29 s’engage à :

  • aider les personnes concernées à exercer leurs droits dans le cadre du Privacy Shield, en particulier dans le cadre de la gestion de leurs plaintes ;
  • informer les responsables de traitement sur leurs obligations dans le cadre du Privacy Shield ;
  • commenter le guide à destination des citoyens élaboré par la commission européenne;
  •  proposer des suggestions relatives à la composition de l'organe européen de centralisation des plaintes (EU centralized body) et à l'organisation pratique de l’évaluation conjointe.

Les mots clés associés à cet article