Le Comité européen de la protection des données (CEPD), qui réunit les autorités de protection des données personnelles des États membres de l'UE, a publié, vendredi 25 janvier, son rapport sur la seconde évaluation conjointe du fonctionnement du dispositif transatlantique de protection des données, le ‘Privacy Shield’ (ou ‘bouclier de sécurité’).
Sept représentants du CEPD avaient en effet participé à cet examen mi-octobre à Bruxelles (EUROPE 12120). Somme toute, le comité estime que plusieurs recommandations formulées dans le cadre du premier examen par son prédécesseur, le groupe ‘article 29’, ont été prises en compte (EUROPE 11920), mais pointe encore quelques lacunes.
Le CEPD a notamment salué la nomination des trois membres manquants du Conseil américain de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board – PCLOB) ainsi que la publication d’une version déclassifiée d'un rapport du PCLOB sur la mise en œuvre de la directive présidentielle no 28 qui montre les limites d'accès des autorités américaines aux données à caractère personnel des Européens.
Reste l’épineuse question de la désignation d’un médiateur permanent (‘Ombudsperson’) chargé de gérer les plaintes des Européens dont les données sont traitées par des entreprises américaines dans le cadre du dispositif. Le CEPD, tout comme la Commission européenne, attend de pied ferme que les États-Unis procèdent à cette nomination au plus vite.
Lors de la publication, mi-décembre, des résultats de la seconde évaluation du dispositif, la Commission européenne a donné aux autorités américaines jusqu’au 28 février 2019 pour nommer ce médiateur permanent (EUROPE 12163).
Pour le CEPD, les pouvoirs concrets du médiateur doivent par ailleurs être clarifiés. « Compte tenu des éléments fournis, le CEPD n'est pas en mesure de conclure que le médiateur est investi de pouvoirs suffisants pour accéder à l'information et remédier à la non-conformité et il ne peut donc pas affirmer que le médiateur peut être considéré comme un 'recours effectif devant un tribunal' au sens de l'Art. 47 de la Charte des droits fondamentaux de l'UE », écrit-il dans son rapport.
Sur les aspects commerciaux du dispositif, le CEPD reconnaît que des progrès significatifs ont été réalisés. Il a tout particulièrement salué la mise en place du système de contrôle aléatoire des entreprises pour vérifier si elles se conforment bien au ‘Privacy Shield’ ainsi que le renforcement du processus de certification initial.
Une préoccupation demeure néanmoins : le manque de contrôle sur le fond. Le CEDP continue en effet de penser que les contrôles effectués se concentrent principalement sur les aspects formels et que la conformité des entreprises avec la substance des principes du dispositif n’est pas vérifiée. En outre, le processus de renouvellement de la certification pourrait encore être affiné, selon les autorités européennes de protection des données.
Le rapport peut être consulté à la page : https://bit.ly/2UhFSKi. (Marion Fontana)