Même si la Commission européenne n´est pas liée par l´avis du G29 (Cnil européennes), qui a constaté des améliorations importantes apportées par le Privacy Shield par rapport au Safe Harbor, il est certain que les préoccupations du G29 seront prises en compte, explique Muriel Assuline, avocate du cabinet Assuline & Partners, qui les expose.
Le 29 février 2016, la Commission européenne a publié le projet de décision d’adéquation constituant un nouveau cadre pour les échanges transatlantiques des données personnelles: l’UE-U.S. Privacy Shield, qui vise à remplacer l´ancienne décision de la Commission européenne du 26 juillet 2000, dite « Safe Harbour », invalidée par la Cour de justice de l’Union européenne le 6 Octobre 2015, dans l´arrêt « Maximillian Schrems ». A la suite de la publication de l´accord par la Commission européenne, le Groupe de travail Article 29, qui regroupe les CNIL européenne (le G29,) s´est prononcé, par l´avis du 13 avril 2016, sur la conformité du nouvel accord à la législation européenne relative à la protection des données.
L´objectif de l´avis du G 29 du 13 avril 2016 était de déterminer si les flux transatlantiques sont suffisamment encadrés par l´accord conclu entre l´Union européenne et les États-Unis le 2 février 2016, dit « Privacy Shield ». Au demeurant, la question s´était posée de savoir si les transferts des données transatlantiques qui seront effectués dans le cadre du « Privacy Shield » respecteront l´arrêt de la Cour de justice du 6 octobre 2015 (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner) et notamment l´exigence d´un niveau de protection équivalent à celui assuré par la législation européenne.
A cet effet, le G 29 a mené son évaluation à la lumière du cadre juridique européen applicable en matière de protection des données (Directive 95/46/EC), ainsi que des droits fondamentaux à la vie privée et à la protection des données garantis tant par la Convention européenne des droits de l’Homme (Article 8) que par la Charte des droits fondamentaux de l’Union européenne (Articles 7 et 8). Le Groupe a aussi pris en compte le droit à un recours effectif et le droit d´accès à un tribunal impartial consacrés par l´article 47 de la Charte des droits fondamentaux de l´Union européenne.
Un accord manquant de clarté
En premier lieu, le G29 a déploré que le texte Privacy Shield soit réparti sur plusieurs documents. En effet, les dispositions du Privacy Shield se retrouvent à la fois dans le projet de décision d´adéquation et dans ses annexes, ce qui rend l’analyse complexe et contribue à un manque général de clarté.
Dans la même veine, le Groupe a contesté le manque de clarté du langage employé. En effet, l´accord utilise une terminologie qui n´est pas compatible avec le vocabulaire sur la protection des données utilisé généralement dans l´Union européenne. Par exemple, le texte de l´accord ne fait pas de distinction entre l´accès aux données par les responsables du traitement et le droit d´accès des individus à leurs données, qui sont pourtant deux notions qui ne devraient pas être confondues. Afin d´améliorer la clarté et la compréhension du projet de décision d´adéquation et de ses annexes, le G 29 a suggéré d´inclure une annexe distincte offrant la définition des termes-clés utilisés dans le Privacy Shield.
Un accord manquant de précision
Malgré les améliorations offertes par le Privacy Shield, le G 29 considère que certains principes-clés de la protection des données tels que consacrés dans la législation européenne ne sont pas reflétés dans l´accord, ou ont été insuffisamment substitués par des notions alternatives.
Par exemple, le principe de limitation de la durée de conservation des données, consacré par l´article 6, §1, sous e) de la Directive 95/46/EC, n´est pas expressément mentionné et ne peut pas être clairement interprété à la lumière du libellé actuel du principe d’intégrité des données et du principe de limitation de la finalité. En ce sens, le Groupe de travail a souligné que l’absence de dispositions imposant une limite à la conservation des données sous le Privacy Shield donne aux responsables de traitement la possibilité de conserver les données aussi longtemps qu’ils le souhaitent, même après avoir quitté le cadre du Privacy Shield, ce qui n´est pas en conformité avec le principe de limitation de la conservation des données.
Un encadrement relatif des dérogations à des fins de sécurité nationale
L’évaluation des dérogations concernant l´accès des autorités publiques aux données transférées est complexe, particulièrement dans un contexte de prise de conscience croissante des autorités de protection des données et du grand public de la mise en place des programmes de surveillance par les autorités américaines. Ainsi, le G29 a souligné que dans une société démocratique, toute limitation du droit fondamental au respect de la vie privée doit être justifiée. Pour cette raison, la Cour de justice a critiqué, dans l´arrêt « Schrems » (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner), le fait que la décision de la Commission européenne du 26 juillet 2000, dite « Safe Harbor », ne contenait aucune disposition quant à l’existence, aux États-Unis, des règles destinées à limiter toute interférence dans la vie privée des personnes.
Afin de déterminer si le Privacy Shield a apporté des remèdes aux critiques de l´arrêt « Schrems », le Groupe a mené son évaluation à la lumière de la jurisprudence européenne (V. en ce sens : CJUE, 8 avril 2014, affaire C-293/12, Digital Rights Ireland et Seitlinger e.a.) sur les droits fondamentaux fixant quatre garanties essentielles à respecter dans le cadre des activités de renseignement :
– le traitement doit reposer sur des règles claires, précises et compréhensibles : toute personne doit être informée du transfert de ses données ;
– la proportionnalité au regard de la finalité poursuivie doit être démontrée : un équilibre doit être trouvé entre les impératifs de sécurité publique et les droits des individus ;
– l´existence d´un mécanisme de contrôle indépendant ;
– l´existence d´un recours effectif ouvert aux citoyens.
En ce sens, le G29 considère qu´une amélioration considérable a été acquise par le Privacy Shield, qui par rapport au Safe Harbor, mentionne expressément et aborde d´une manière exhaustive l´hypothèse de l´accès par les autorités américaines aux données en provenance de l´Union européenne à des fins de sécurité nationale. Le Groupe a salué également la garantie de transparence accrue offerte par l’administration des Etats-Unis en ce qui concerne la législation applicable à la collecte des données de renseignement.
Le Groupe a noté toutefois que les représentants de l’Office américain du directeur du renseignement national continuent à mettre en place une collecte massive et indifférenciée des données à caractère personnel en provenance de l´Union européenne. Or, la surveillance massive et indifférenciée des individus ne peut être considérée proportionnée et strictement nécessaire dans une société démocratique et, dès lors, la mise en place d´une telle collecte ne respecte pas la législation européenne sur la protection des données.
La désignation d´une « Ombudsperson »
Par ailleurs, le G29 a salué la mise en place d’un médiateur (Ombudsperson). Ce mécanisme de recours prévu par le projet de décision d´adéquation devrait améliorer considérablement les droits des citoyens européens vis-à-vis des activités des services de renseignement américains. Néanmoins, le G29 doute que le médiateur dispose d’une indépendance et de pouvoirs suffisants pour exercer son rôle efficacement et qu’il permette d’obtenir un recours satisfaisant en cas de désaccord avec l’administration.
La mise en place d´un réexamen conjoint
L´institution d´un mécanisme de réexamen conjoint de l´application pratique du Privacy Shield par le projet de décision d´adéquation n´est que bienvenue. Ainsi, le mécanisme de réexamen annuel conjoint sera un facteur clé pour la crédibilité globale du Privacy Shield. Il va permettre la vérification du respect de la législation européenne sur la protection des données dans le cadre des transferts transatlantiques, d´autant plus que les représentants des autorités nationales de protection des données auront la possibilité de participer à ce mécanisme.
La révision du projet de décision d´adéquation par rapport au nouveau Règlement sur la protection des données
Enfin, une révision devra être effectuée à la lumière du Règlement général sur la protection des données adopté par le Parlement européen le 14 avril 2016 et qui entrera en vigueur le 24 mai 2016. A cet égard, le G29 a proposé l’insertion d’une clause de révision afin que le Privacy Shield prenne en compte le niveau élevé de protection qui sera garanti par le nouveau règlement européen sur les données quand celui-ci entrera en application.
En conclusion, le G29 a constaté des améliorations considérables apportées par le Privacy Shield par rapport au Safe Harbor. Même si la Commission européenne n´est pas liée par l´avis du G29, il est certain que face aux risques d´invalidation de la nouvelle décision d´adéquation par la Cour de justice, les préoccupations exprimées par la G 29 seront prises en compte.
Après l´avis du « G29 », le projet de décision d´adéquation sera examiné par les États membres dans le cadre de la procédure de « comitologie », en conformité avec l’article 31 de la directive 95/46 / CE.
Pendant la période d´adoption de la nouvelle décision d´adéquation, les autres outils de transfert tels que BCR (règles internes d´entreprise) ou les clauses contractuelles type pourront être utilisés par les entreprises.
Autre avis juridique sur le même thème :
Accord “Privacy Shield“ : les CNIL européennes se prononcent
