La Commission européenne a présenté, mercredi 23 octobre, les résultats de la troisième évaluation du dispositif transatlantique de protection des données, le ‘Privacy Shield’, dont le coup d’envoi avait été donné à Washington le 12 septembre (EUROPE 12327/24).
Le rapport d'évaluation confirme que les États-Unis continuent d'assurer « un niveau adéquat de protection » des données à caractère personnel transférées de l'UE aux entreprises américaines participant au cadre du ‘Privacy Shield’.
La commissaire européenne à la Justice, Věra Jourová, a estimé, en conférence de presse, que le dispositif était un vrai « succès » et est même allée plus loin. « Le Privacy Shield s'avère être un bon outil de diplomatie numérique qui encourage le dialogue », a-t-elle déclaré.
Au moment de la conception du dispositif, il y a trois ans, il y avait beaucoup de scepticisme du côté américain au sujet des règles européennes sur la protection des données. Or, maintenant, la Californie s’est dotée d’une loi sur la protection de la vie privée et des discussions avancées ont lieu dans d’autres États américains et même au sein du Congrès américain au sujet d’une législation fédérale horizontale, explique-t-elle. Et d'ajouter : « j'ose dire que les règles européennes et le Privacy Shield y sont pour quelque chose ».
Aujourd'hui, près de 5 000 entreprises participent à ce cadre : c’est plus que ce que son prédécesseur, le ‘Safe Harbor’, a obtenu durant ses 13 années d’existence, s’est-elle félicitée. Le nombre de citoyens européens faisant usage des droits conférés par le dispositif est, lui aussi, en hausse et les mécanismes de recours fonctionnent bien, a-t-elle ajouté. Surtout, les États-Unis ont enfin procédé à toutes les nominations manquantes, notamment celle de Keith Krach au poste de médiateur permanent ('Ombudsperson'). Il s'agissait en effet du grand point épineux lors de la dernière évaluation de la Commission (EUROPE 12120/11).
Le rapport indique qu’une première plainte a été déposée auprès du médiateur par l’intermédiaire de l'autorité croate de protection des données. Cette plainte a finalement été jugée irrecevable, car elle concernait des faits qui se sont achevés avant l'adoption du ‘Privacy Shield’. Elle a néanmoins donné l’occasion de tester la procédure et a témoigné de son bon fonctionnement, explique la Commission.
La Commission note aussi une amélioration en termes de mesures répressives. La commission fédérale du commerce a pris des mesures au titre du ‘Privacy Shield’ dans sept cas, a-t-elle indiqué, citant notamment l’amende de 5 milliards de dollars infligée à Facebook (EUROPE 12296/27) et un certain nombre d’enquêtes sur de possibles violations du cadre sont encore en cours.
Quelques améliorations pratiques nécessaires
« Nous aimerions que les États-Unis fassent certaines choses mieux et plus vite », a néanmoins indiqué Věra Jourová.
La Commission recommande en effet aux autorités américaines de renforcer encore le processus de recertification pour les entreprises qui souhaitent participer au cadre en raccourcissant la durée du processus. Une période maximale de 30 jours au total semblerait raisonnable, selon elle.
Elle leur demande aussi d'étendre les contrôles de conformité, notamment en ce qui concerne les fausses déclarations de participation au ‘Privacy Shield’ et d'élaborer des orientations supplémentaires pour les entreprises concernant les données relatives aux ressources humaines.
La Commission attend également de la Commission fédérale du commerce (FTC) qu'elle intensifie encore ses enquêtes sur le respect des exigences de fond du dispositif et qu'elle fournisse aux autorités européennes des informations sur les enquêtes en cours.
La Commission précise en outre que cette évaluation lui a permis d'obtenir des autorités américaines des éclaircissements sur certaines questions soulevées dans le cadre de l’affaire ‘Schrems II’ (C-311/18). Une fois que la Cour de justice de l'UE aura rendu son arrêt - l’avocat général doit rendre ses conclusions le 12 décembre 2019 (EUROPE 12292/15) – elle indique qu’elle évaluera ses conséquences sur le ‘Privacy Shield’.
Voir le rapport : http://bit.ly/2ofdjTw (Marion Fontana)