Décidément, la Commission européenne et les instances de la protection des données personnelles du Vieux Continent peinent à partager le même point de vue sur le Privacy Shield.
Ce « bouclier de protection de la vie privée » est un dispositif transatlantique qui organise et encadre le transfert des données personnelles des internautes européens vers les États-Unis. Il est en place depuis juillet 2016.
Si Bruxelles considère, dans un avis rendu fin octobre, que les États-Unis « continuent de garantir un niveau suffisant de protection » pour les données personnelles des internautes qui sont envoyées de l’autre côté de l’Atlantique, et que des améliorations substantielles ont été obtenues depuis trois ans, le Comité européen de la protection des données (EDPB), lui, est plus réservé.
Certes, l’EDPB apprécie lui aussi les changements qui ont été engagés par Washington pour rendre plus opérationnel encore le « bouclier de protection de la vie privée ». Cela dit, pour cette instance mise en place par le Règlement général sur la protection des données et dont est membre la Commission nationale de l’informatique et des libertés, il y a encore des soucis irrésolus.
Encore des préoccupations
En particulier, l’EDPB relève que certains contrôles de conformité vis-à-vis des principes du Privacy Shield « demeurent préoccupants ». D’autres domaines requièrent à ses yeux une attention particulière. Parmi eux, la bonne application des exigences du Privacy Shield au sujet des transferts ultérieurs de données, le cas des sous-traitants et le processus de re-certification des entreprises liées à ce dispositif.
L’EDPB appelle aussi à la publication de rapports supplémentaires, « notamment pour fournir une évaluation indépendante des programmes de surveillance menés en dehors du territoire américain, pendant que les données sont transférées de l’Union européenne aux États-Unis ». Y compris d’éventuels documents confidentiels, qui seraient consultés par ses experts triés sur le volet.
Ce n’est pas anodin : le Privacy Shield a succédé au Safe Harbor, qui a été invalidé fin 2015 par la Cour de justice de l’Union européenne, car les États-Unis ne garantissaient pas le même niveau de protection que sur le Vieux Continent. Or, à l’origine de la procédure s’est trouvée une plainte contre Facebook, déposée à la suite des révélations d’Edward Snowden sur les programmes de la NSA, dont l’un d’eux, PRISM, aménage un accès privilégié aux données des internautes pour les agences de renseignement américaines, donc y compris des données d’internautes européens.
Cette vérification de l’EDPB est la troisième conduite sur le Privacy Shield. La Commission effectue elle aussi un examen annuel afin de « s’assurer qu’il continue de garantir un niveau de protection adéquat des données à caractère personnel ». À chaque fois, Bruxelles l’a déclaré viable et fonctionnel, malgré des manques et insuffisances relevés dans ses rapports.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.