Le groupe de travail 'article 29', qui réunit les autorités de protection des données personnelles des États membres de l'UE, a publié, mardi 5 décembre, son rapport sur la première évaluation conjointe du fonctionnement du dispositif transatlantique de protection des données, le ‘Privacy Shield’ (ou ‘bouclier de sécurité’).
Soulignant de nombreuses préoccupations, le groupe se montre ferme et met en garde : « Dans le cas où aucune solution ne serait apportée aux préoccupations du groupe ‘article 29’ dans les délais impartis, ses membres prendront les mesures appropriées, y compris porter la décision d’adéquation du ‘Privacy Shield’ devant les cours nationales afin qu’elles introduisent une demande de décision préjudicielle devant la Cour de justice de l’Union européenne ».
Dans ce rapport, les autorités de protection des données se sont en effet montrées beaucoup plus sévères que la Commission, qui, dans son rapport publié fin octobre, avait estimé que le ‘Privacy Shield’ continuait d’offrir un niveau de protection adéquat des données des Européens transférées à des fins commerciales vers des entreprises établies aux États-Unis (EUROPE 11886).
Si elles reconnaissent les progrès accomplis par le ‘Privacy Shield’ par rapport à son prédécesseur, le ‘Safe Harbor’ invalidé par la Cour de justice de l’Union européenne, elles restent préoccupées par l’absence de nomination permanente d’un médiateur indépendant ainsi que des membres du Conseil de surveillance de la vie privée et des libertés civiles. « Ces préoccupations prioritaires doivent être résolues d’ici le 25 mai 2018 », écrivent-elles dans leur rapport, tandis que la Commission européenne se contentait d’appeler à des nominations « dans les meilleurs délais ».
Sur les aspects commerciaux du dispositif, le groupe appelle à une supervision et un contrôle accrus de la conformité aux principes du ‘Privacy Shield’, notamment par des enquêtes d'office et un contrôle continu des entreprises certifiées. Par ailleurs, il invite les autorités américaines à établir une distinction claire entre le statut des responsables du traitement des données et celui des responsables du contrôle des données, à la fois au moment de l’autocertification et des contrôles ultérieurs.
En ce qui concerne l’accès des autorités américaines aux données transférées aux États-Unis, le groupe reconnait les efforts déployés par le gouvernement américain en matière de transparence dans l'utilisation de ses pouvoirs surveillance et salue particulièrement les documents déclassifiés qui ont été publiés. Il réclame néanmoins des preuves supplémentaires ou des engagements juridiquement contraignants pour étayer les affirmations des autorités américaines selon lesquelles la collecte de données n'est pas systématique.
En conséquence, le groupe appelle la Commission et les autorités américaines à mettre en place, immédiatement, un plan d’action afin de démontrer que ces préoccupations seront prises en compte au plus tard lors du second examen conjoint du dispositif.
DIGITALEUROPE dénonce un rapport trop sévère. Dans un communiqué publié mercredi 6 décembre, DIGITALEUROPE, l'association représentant l'industrie européenne des technologies numériques, a jugé que le groupe de travail ‘article 29’ avait manqué l'occasion de reconnaître les efforts considérables déployés par toutes les parties pour concrétiser les engagements de protéger les données des citoyens européens.
« Si les autorités de protection des données estiment que la Commission se trompe dans son évaluation selon laquelle le Privacy Shield respecte ses promesses, nous les appelons à retrousser leurs manches et à rejoindre leurs collègues des deux côtés de l'Atlantique pour améliorer sa mise en œuvre et son application, plutôt que d’agir comme des observateurs qui ne sont pas intéressés », a déclaré sa directrice générale, Cecilia Bonefeld-Dahl.
Le rapport peut être consulté à la page : http://bit.ly/2ks3qPX. (Marion Fontana)