Les 2 et 3 février 2016, la CNPD et ses homologues européens se sont réunis à nouveau pour évaluer les conséquences de la décision de la CJUE du 6 octobre 2015 invalidant le Safe Harbor sur les transferts internationaux de données depuis l'Europe.
Le G29 (groupe des autorités de protection des données européennes) salue l'annonce de la conclusion d'un accord "EU-U.S. Privacy Shield" entre les Etats-Unis et la Commission Européenne dans le délai de 3 mois qu'il avait fixé le 16 octobre 2015.
Cet accord doit désormais être analysé par le G29 afin d'en connaître précisément le contenu et le caractère contraignant. Il doit aussi permettre au G29 de savoir si les garanties nouvelles qu'il apporte répondent aux préoccupations qu'il a identifié dans le cadre du travail qu'il a mené depuis l'arrêt de la Cour.
En effet et comme il s'y était engagé le 16 octobre, le G29 a évalué durant ces dernières semaines la validité des autres outils de transferts au regard de la décision de la CJUE. Pour ce faire, il a analysé le cadre légal américain et les pratiques des services de renseignement américains afin d'apprécier les conditions dans lesquelles le droit européen à la protection de la vie privée et des données ferait l'objet d'une ingérence injustifiée.
Afin d'avoir une compréhension claire et complète de la situation aux Etats-Unis et de l'impact sur les transferts entre l'Europe et les Etats-Unis, le G29 a réalisé des auditions et entendu des personnes d'horizons divers originaires d'Europe ou des Etats-Unis : universitaires, entreprises, représentants de gouvernements, société civile.
Le G29 a mené son évaluation à la lumière de la jurisprudence européenne sur les droits fondamentaux, qui fixe quatre garanties essentielles à respecter dans le cadre des activités de renseignement :
- Les traitements doivent reposer sur des règles claires précises et compréhensibles : toute personne doit être informée du transfert de ses données et capable de comprendre ce qui en est fait ;
- La proportionnalité au regard de la finalité poursuivie doit être démontrée : un équilibre doit être trouvé entre les finalités poursuivies par la collecte ou l'accès aux données (impératifs de sécurité publique) et les droits des individus ;
- Un mécanisme de contrôle indépendant doit exister : il pourrait s'agir d'un juge ou de tout autre organe indépendant, dès lors qu'il a les capacités à mettre en œuvre les contrôles nécessaires.
- Une possibilité de recours effectif doit être offerte aux citoyens : tout individu doit être en mesure de défendre ses droits devant un organe indépendant.
Le G29 relève que ces quatre garanties doivent être respectées dès lors que des données personnelles sont transférées depuis l'Europe vers les Etats-Unis, mais aussi vers d'autres pays tiers. Ces garanties doivent également être respectées par les pays membres de l'Union Européenne.
A la lumière de son analyse, le G29 reconnait les efforts faits par les Etats-Unis en 2014 et 2015 pour améliorer la protection des données des personnes non-américaines. Néanmoins, des préoccupations demeurent quant au cadre légal américain actuel, au regard des quatre garanties, notamment celles portant sur le périmètre d'accès aux données et les possibilités de recours.
Le G29 demande à la Commission Européenne de lui communiquer tous les documents relatifs au nouvel accord "EU-U.S. Privacy Shield" avant la fin du mois de février. Il l'examinera à la lumière de ces garanties essentielles et évaluera s'il répond aux préoccupations importantes relatives aux transferts internationaux de données soulevées par la décision de la CJUE. Le G29 se réunira en séance plénière dans les semaines suivantes et rendra publique son analyse au mois d'avril. Pendant cette période d'analyse du nouvel accord, les autres outils de transfert tels que les BCR ou les clauses contractuelles type peuvent continuer à être utilisés par les entreprises. En revanche, les transferts ne peuvent plus se faire sur la base de l'ancien accord Safe Harbor invalidé par la CJUE. La CNPD (tout comme ses homologues européens) instruira les plaintes qui lui seraient adressées.