Alors que l’accord de principe entre l’UE et les Etats-Unis n’en finit plus de faire parler, le comité européen de la protection des données a adopté une position prudente, listant les trous de la raquette auxquels il sera particulièrement attentif tout en rappelant qu’il ne s’agit pour l’heure que d’un accord politique sans la moindre portée légale.
Il a suffi d’une simple feuille de papier et de deux signatures pour déchaîner les passions. Fin mars, la Commission européenne annonçait être parvenue à un accord de principe sur un nouveau cadre transatlantique de confidentialité des données. Peu importe qu’aucun brouillon de projet n’ait été dévoilé, qu’aucune des futures dispositions du texte n’ait été mentionnée : la levée de boucliers fut immédiate.
Des boucliers qui ne se sont pas baissés depuis, à coups de posts rageurs sur les réseaux sociaux, de communiqués et de tribunes. Il est loin, le temps où l’invalidation du Privacy Shield provoquait une panique généralisée, où l’on nous expliquait que, par la faute de la CJUE, des milliers d’entreprises françaises risquaient de ne plus pouvoir fonctionner. Désormais, la perspective d’un nouveau Privacy Shield fait enrager de notre côté de l’Atlantique.
Les Cnil européennes impatientes
Dans tout ce brouhaha, la position adoptée par le comité européen de la protection des données fait preuve de retenue. Inébranlables, les Cnil européennes rappellent les faits : « cette annonce ne constitue pas un cadre légal sur lequel les exportateurs de données peuvent baser leurs transferts de données vers les Etats-Unis ».
« Le CEPD examinera comment cet accord politique se traduit par des propositions juridiques concrètes pour répondre aux préoccupations soulevées par la Cour de justice de l'Union européenne (CJUE) afin de fournir une sécurité juridique aux personnes de l'EEE et aux exportateurs de données » écrit l’organisme européen. Qui liste lesdites préoccupations et les réponses attendues des Américains, lesquels n’ont guère pour projet de modifier leur législation sur le sujet (à l’instar de ce FISA perpétuellement reconduit dans l’indifférence générale).
La réunion des gendarmes européens des données personnelles se réjouit donc de ce projet d’un accord, notamment de « l’engagement des plus hautes autorités américaines à mettre en place des mesures « sans précédent » pour protéger la vie privée et les données personnelles des individus dans l’Espace économique européen ». Mais elle est loin d’être dupe.
Les Américains attendus au tournant
Ainsi, le CEPD se penchera avoir joie sur les dispositifs permettant à ce cadre de garantir « que la collecte de données à caractère personnel à des fins de sécurité nationale est limitée à ce qui est strictement nécessaire et proportionné ». De même, elle s’assurera que le droit des Européens soit respecté par la mise en place de voies de recours effectives (juridictionnelles ou non), notamment de cette fameuse ombudsperson que jamais l’administration américaine n’a désignée.
« En particulier, le CEPD examinera si toute nouvelle autorité faisant partie de ce mécanisme a accès aux informations pertinentes, y compris les données à caractère personnel, dans l'exercice de sa mission et peut adopter des décisions contraignantes pour les services de renseignement » note le CEPD, dont on voit déjà les crocs se découvrir à l’idée que ce ne soit pas le cas. D'autant qu'il soulève qu'il examinera également les voie de recours en cas d'erreur ou « d'inaction » de cette nouvelle autorité.
Et de rappeler, non sans malice, qu’il « préparera son avis lorsqu'il aura reçu de la Commission européenne toutes les pièces justificatives » et, surtout, que toute tentative de contournement sera vouée à échouer, puisque « le RGPD exige que la Commission sollicite l'avis du CEPD avant d'adopter une éventuelle nouvelle décision d'adéquation reconnaissant comme satisfaisant le niveau de protection des données garanti par les autorités américaines ». Bref, la procédure d’adoption d’un nouveau Privacy Shield n’a même pas encore été lancée que le régulateur affute ses armes.