Un an après, Privacy Shield est satisfaisant mais améliorable

L’héritier du Safe Harbor a passé sa première revue annuelle. La Commission européenne se dit satisfaite des progrès faits par l’administration américaine, sans toutefois se montrer trop enthousiaste : de nombreux points restent à améliorer pour garantir la protection des données des citoyens européens.

Lancé il y a un peu plus d’un an, le Privacy Shield devait remédier aux défauts de son prédécesseur, le Safe Harbor. A l’occasion de cet anniversaire, la Commission s’est livrée à la revue annuelle du dispositif. On apprend ainsi que plus de 2 400 sociétés ont d’ores et déjà été certifiées par le Department of Commerce américain. Un chiffre qui souligne la mise en place de politiques de « privacy » par les entreprises : il a fallu près d’une décennie pour atteindre cette quantité d’entreprises certifiées à l’époque du Safe Harbor.

Au terme de ce premier examen, la Commission estime satisfaisantes les mesures prises par les Etats-Unis. « Les autorités américaines ont mis en place des structures et les procédures nécessaires au fonctionnement correct du Privacy Shield » note le rapport, citant entre autres la mise en place de procédures de traitement des plaintes des citoyens européens et le renforcement de la coopération avec les Cnil européennes.

Et FISA !

Mais le dispositif reste perfectible, selon Věra Jourová , la Commissaire à la Justice. « Notre première revue montre que le Privacy Shield fonctionne bien, mais il y a encore de la place pour améliorer sa mise en œuvre » écrit-elle. La Commission donne quelques pistes d’amélioration à l’attention des autorités américaines. Et la première d’entre elles est une invitation à entériner la Presidential Policy Directive 28 (PPD-28).

Cette directive signée par Obama en 2014 instaure certaines barrières et garanties relatives à la collecte et l'utilisation de données personnelles par les autorités américaines à des fins de sécurité nationale. Elle couvre notamment les non-Américains. A l’occasion de la révision du FISA (Foreign Intelligence Surveillance Act), la Commission suggère donc au Congrès d’inscrire ces mécanismes de protection dans la loi. Sur le même sujet, elle demande également à la Commission de surveillance de la vie privée et des libertés civiles (PCLOB) américaine de publier son rapport sur l’application de cette directive.

Un peu de communication

En outre, Bruxelles recommande que le Department of Commerce contrôle « plus régulièrement et proactivement » la conformité des entreprises aux obligations du Privacy Shield. D’autant que certains petits malins annoncent publiquement être certifiés sans attendre la finalisation du processus de certification. Voilà une chose que le DoC ne devrait pas permettre, les autorités américaines devraient par ailleurs faire la chasse aux entreprises trop empressées, écrit la Commission.

L’Europe conseille enfin qu’un ombudsman permanent soit désigné « dans les plus brefs délais » et que « les postes vacants soient pourvus au sein du PCLOB ». Plus globalement, la Commission reconnaît les efforts réalisés par les autorités américaines, mais préconise une meilleure communication entre elles et les différentes institutions qui, en Europe, sont chargées de la protection des données personnelles.