Droit de l'e-réputation

Protection des données personnelles : la Commission européenne valide le Privacy Shield

La Commission européenne a adopté, le 12 juillet dernier, sa décision d’adéquation concernant le Privacy Shield. Rappelons que cet accord porte sur la protection des données personnelles des ressortissants européens exportées vers les États-Unis.

Le Privacy Shield avait été mise en place après l’échec du Safe Harbor qui n’avait rien de « Safe » (sécurisé), validé un peu à la légère par la Commission en juillet 2000 et finalement invalidé à la demande d’un citoyen européen par la Cour de justice de l’Union européenne le 6 octobre 2015.

La Commission a donc dû reprendre des négociations avec les autorités américaines afin de trouver un accord qui offre un niveau de protection au moins équivalent à celui pratiqué en Europe. C’est ainsi qu’est né le Privacy Shield (ou « bouclier pour la vie privée ») dont les bases on été jetées le 2 février 2016.

Le 13 avril, le G29, groupe de travail réunissant les 28 « Cnil » européennes, avait émis des réserves quant au niveau de protection du projet d’accord. Le 26 mai dernier, le Parlement européen votait une résolution appelant à améliorer le projet d’accord, selon les parlementaires encore trop timoré quant à la protection des citoyens européens.

Le 12 juillet la Commission a donc considéré que le niveau de protection garanti par le Privacy Shield était équivalent à celui garanti par la législation européen et a donc pris cette décision d’adéquation.

Toutefois, certains ont encore émis certaines réserves sur cet accord.

La Cnil a publié, le 29 juillet dernier, la « Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield (bouclier de protection des données UE-États-Unis) ». Si le groupe constate que certaines de ses mises en garde passés ont été prises en compte dans l’accord validé, il déplore cependant que certains points restent en-deçà du niveau de protection européen.

S’agissant de l’accès aux données par les pouvoirs publics américains, il note que l’accord ne garantit pas concrètement le risque de collecte massive et non ciblée de données personnelles, pratiques qui avaient été l’un des points de litige entraînant l’invalidation du Safe Harbor.

Pour consulter la déclaration du G29 sur le site de la Cnil :
https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield