01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Zoom sur l’avis du G29 sur le bouclier vie privée UE-Etats-Unis (accord Privacy Shield)

europe privacy shield
  • Actualité juridique, Base de données, BIG DATA, CNIL, Communication, Cybercriminalité, Cybersurveillance, Data, Droit des télécommunications, Droits de l'Homme, Fichier informatique, Information et libertés, Libertés individuelles, Télécommunications, Vie privée

Le Groupe de travail 29 vient de publier un avis relatif à la conformité de l’accord « Privacy Shield » et le droit de l’Union en matière de protection des données et de la vie privée.

Il tient tout d’abord à souligner les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001. Néanmoins, d’importantes préoccupations demeurent concernant le volet commercial du Privacy Shield et l’accès par les autorités publiques aux données transférées dans le cadre de l’accord Privacy Shield.

Décryptage :

Le Groupe de travail 29 ou G29 (en référence à l’article 29 Data Protection Working Party – WP 29), organe consultatif européen indépendant sur la protection des données et de la vie privée, a procédé à l’évaluation de l’accord « Privacy shield » à la lumière du cadre juridique de protection des données de l’Union européenne figurant dans la directive 95/46/CE, ainsi que les droits fondamentaux à la vie privée et la protection des données énoncés à l’article 8 de la Convention sur les droits de l’Homme et aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

L’objectif de cette analyse consiste à s’assurer que les transferts de données personnelles qui seront réalisés dans le cadre du Privacy Shield respectent un niveau de protection «essentiellement équivalent » aux exigences européennes, pour reprendre l’expression utilisée par la Cour de justice de l’Union européenne dans l’arrêt Schrems du 6 octobre 2015.

En premier lieu, le G29 souligne les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001. Elles portent notamment sur l’insertion de définitions clés et les mécanismes mis en place pour assurer le contrôle du respect des principes garantis par le Privacy Shield et notamment les audits de conformité internes et externes.

Toutefois, en second lieu, il estime que d’importantes préoccupations demeurent s’agissant du volet commercial du Privacy Shield et de l’accès par les autorités publiques aux données transférées dans le cadre de l’accord Privacy Shield. Il considère, en effet, que certains principes de protection des données clés décrites dans la législation européenne ne sont pas pris en compte dans le projet ou ont été insuffisamment couverts par des notions alternatives. En particulier, l’application du principe de la limitation de la finalité du traitement des données est peu claire. Il observe aussi :

–  que le principe de la conservation des données n’est pas expressément mentionné et ne peut pas être clairement interprété dans la formulation actuelle du texte.

– qu’il n’y a pas un libellé spécifique sur la protection qui devrait être accordée contre les décisions individuelles automatisées basées uniquement sur le traitement automatisé.

– que malgré la mise en place de recours supplémentaires mis à la disposition des individus pour exercer leurs droits, il craint que, dans la pratique, le nouveau mécanisme de recours puisse se révéler trop complexe, difficile à utiliser pour les individus au sein de l’UE, en particulier dans une autre langue, et soit donc inefficace.

Des précisions sur les différentes procédures de recours sont par conséquent nécessaires.

Les autorités de protection des données nationales de l’UE pourraient être considérées comme un point de contact naturel pour les individus de l’UE dans les différentes procédures, en ayant la possibilité d’agir en leur nom.

S’agissant de l’accès par les pouvoirs publics aux données transférées en vertu du « Privacy Shield », le Groupe de travail regrette que les représentants de l’Office américain du directeur du renseignement national (ODNI) ne fournissent pas suffisamment de détails afin d’exclure la collecte massive et aveugle des données personnelles provenant de l’UE.

Le Groupe de travail rappelle que la surveillance massive et sans discernement des individus ne peut jamais être considérée comme proportionnée et strictement nécessaire dans une société démocratique.

Finalement, si le Groupe de travail prend note des améliorations apportées par le « Privacy Shield » par rapport à la décision « Safe Harbour » invalidée en octobre 2015,  compte tenu des préoccupations exprimées, il invite la Commission européenne à résoudre ces problèmes et à fournir les éclaircissements afin d’améliorer le projet de décision et à s’assurer que la protection offerte par le « Privacy Shield » est en effet sensiblement équivalente à celle de l’UE.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com