Après trois ans d'application, le dispositif transatlantique de protection des données, le 'Privacy Shield', continue d'inquiéter de nombreuses parties prenantes qui doutent de son efficacité à protéger les données des Européens qui sont traitées par des entreprises américaines. Jeudi 9 janvier, la Commission européenne et les autorités européennes de protection des données sont venues exposer, devant la commission des libertés civiles du Parlement européen, leurs avis, radicalement opposés, sur les progrès constatés.
Aux yeux de la Commission européenne, représentée par Bruno Gencarelli, qui dirige l’unité ‘Flux internationaux et protection des données', le ‘Privacy Shield’ est un réel « succès » en termes de participation.
En seulement 3 ans, 5 000 entreprises ont rejoint le cadre, soit beaucoup plus que le nombre d’entreprises certifiées au titre de son prédécesseur, le ‘Safe Harbor’, en 13 années d’existence, a-t-il fait valoir.
M. Gencarelli a ainsi listé les résultats positifs du dispositif, détaillés dans le rapport de la Commission publié en octobre sur le 3e examen annuel conjoint (EUROPE 12355/9), notamment la nomination d'un médiateur permanent (‘Ombudsperson’).
À l'inverse, pour Lisa-Marie Lange, de l’autorité de protection des données de la Hesse, en Allemagne, et pour François Pellegrini, de l’autorité française de protection des données, la liste des lacunes et améliorations à apporter est longue.
Ces derniers ont notamment mis en avant l'insuffisance des pouvoirs du médiateur (EUROPE 12372/12) ainsi que la nécessité d'améliorer les contrôles de conformité, la collecte des données, le processus de recertification et l’efficacité des recours.
Selon la députée néerlandaise Sophie in't Veld (Renew Europe), pour qui le 'Privacy Shield' est inadéquat en termes de protection, ces examens se succèdent et se ressemblent, sans que d'année en année il y ait de véritables améliorations.
Une décision d’adéquation pour la Californie comme alternative ?
Ainsi, loin d’être apaisées, les inquiétudes ont même été ravivées depuis que l’avocat général de la Cour de justice de l’UE, Henrik Saugmandsgaard Øe, a rendu, fin décembre, ses conclusions dans l’affaire ‘Schrems II’ (C-311/18).
Dans celles-ci, il émet en effet une série de doutes quant à la validité du 'Privacy Shield' au regard des droits au respect de la vie privée et à la protection des données (EUROPE 12394/7).
Plusieurs députés ont ainsi voulu savoir quelles seraient les options de la Commission si la CJUE venait à invalider le dispositif.
Interrogé par Patrick Breyer (Verts/ALE, allemand) sur la possibilité que l’UE adopte une décision d’adéquation en matière de protection des données pour la Californie, qui s’est récemment dotée d’une loi sur la protection des données, M. Gencarelli a répondu 'oui'.
Cette possibilité pour une partie ou un territoire d'un État fédéral est expressément prévue par le règlement général sur la protection des données (RGPD), a-t-il expliqué. Le cas est particulièrement intéressant, puisque les grandes entreprises du secteur numérique se trouvent dans la Silicon Valley.
Pour le reste, le représentant de la Commission a refusé de spéculer sur la décision que pourrait prendre la Cour de justice. Il a toutefois rappelé que l’avocat général indiquait également dans ses conclusions que la résolution du litige au principal ne nécessitait pas que la Cour se prononce sur la validité du 'Privacy Shield'. (Marion Fontana)