[box style=”5″]
Par une résolution adoptée en séance plénière au Parlement européen le 6 avril dernier, les députés européens ont fait part à la Commission européenne de leurs réserves et interrogations au sujet de l’accord Privacy Shield, qui encadre le transfert de données personnelles européennes aux Etats-Unis.
Ils enjoignent la Commission à « réaliser un examen complet et approfondi de tous les défauts et faiblesses » de l’accord lors du premier réexamen annuel conjoint, prévu pour septembre 2017.
[/box]
Par son arrêt Schrems du 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a invalidé l’accord « Safe Harbor » encadrant les transferts de données personnelles de ressortissants européens aux Etats-Unis. L’arrêt enjoignait la Commission européenne à négocier un nouvel accord avec les Etats-Unis de façon à assurer un niveau de protection de données transférées transatlantique « substantiellement équivalent » au niveau de protection garanti dans l’Union. Suite à de longues négociations, la Commission a adopté sa décision d’exécution (UE) 2016/1250, constatant l’adéquation de la protection conférée aux transferts de données personnelles au titre du nouvel accord, le « Privacy Shield ».
L’accord a fait l’objet de plusieurs examens par le Contrôleur Européen à la Protection des Données[1] et le Groupe de travail de l’article 29[2]&[3] notamment, qui ont fait part de leurs inquiétudes quant à son adéquation à l’établissement d’un cadre adapté au droit interne américain et efficace pour garantir un niveau de protection équivalent aux exigences européennes. Le Parlement européen reprend ces inquiétudes à son compte dans sa résolution du 6 avril 2017 et liste un certain nombre de mesures qu’elle enjoint la Commission à prendre.
Les eurodéputés constatent d’abord un certain nombre d’améliorations dans l’accord définitif par rapport à sa version initiale, comme la prise en compte des pouvoirs des autorités nationales de contrôle notamment de suspendre ou d’interdire les transferts qui ne sont pas affectés par l’accord, ou encore la précision des moyens de recours des citoyens européens contre des transferts de leurs données aux Etats-Unis. Cependant, ils relèvent certaines lacunes et insuffisances dans la protection accordées aux données transférées.
Tout d’abord, concernant l’accord lui-même, la résolution soulève que les droits des personnes ne sont traitées que sous la forme d’un droit d’opposition concernant la divulgation des données et le changement de finalité de leur traitement, sans établir le consentement comme base juridique au traitement. De même, le Privacy Shield ne prévoit aucune règle relative à la prise de décision automatisée, à l’application de l’accord aux sous-traitants ni à l’indemnisation des personnes pour les violations des obligations présentes dans l’accord. Le Parlement relève en outre que la lettre de l’accord n’empêche pas la « surveillance de masse », contraire à la charte de l’UE qui pose des « critères plus strictes de nécessité et de proportionnalité » et à l’arrêt Tele2 du 21 décembre 2016 de la CJUE, qui interdit une « conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation » des personnes.
Ensuite, les députés s’inquiètent de la conformité entre le droit interne américain et les garanties de protection de l’accord. Ils évoquent ainsi les procédures relatives au partage, entre agences américaines de renseignement, de grandes quantités de données collectées sans mandat ni ordonnance du tribunal ou mandat du Congrès. De même, les députés relèvent que l’accord repose sur une directive présidentielle américaine aisément révocable par un futur président sans l’accord du Congrès.
[1] Avis concernant le «Bouclier vie privée UE-États-Unis» (Privacy Shield) Projet de décision d’adéquation d’avril 2016
[3] Déclaration du 26 juillet 2016
