Le 13 avril 2016, le groupe de travail Article 29 a publié son avis sur le projet de déclaration d’adéquation dans le cadre du Privacy Shield américain (Avis 01/2016 sur le projet de décision d’adéquation du Privacy Shield UE-USA; Déclaration du groupe de travail Article 29 sur l’avis relatif au bouclier de protection des données UE-USA).
En principe, le groupe de travail salue les améliorations apportées par le Privacy Shield par rapport à Safe Harbor. Il invite toutefois la Commission européenne à clarifier les ambiguïtés linguistiques et systématiques concernant les principes et les garanties accordés par le Privacy Shield. D’une part, une meilleure clarté pourrait être obtenue en ajoutant une annexe au Privacy Shield contenant des définitions de termes. D’autre part, la terminologie devrait être harmonisée avec celle utilisée dans la législation européenne sur la protection des données.
En ce qui concerne les aspects commerciaux de la déclaration d’adéquation, le groupe de travail constate que le projet ne tient pas compte de certains principes européens de protection des données. D’une part, la limitation des finalités devrait être mieux prise en compte et, d’autre part, les entreprises devraient être expressément tenues par la déclaration d’adéquation de supprimer les données personnelles dont elles n’ont plus besoin. En outre, les complexités liées à la procédure de recours devraient être clarifiées.
En ce qui concerne les aspects de sécurité de la déclaration d’adéquation, le groupe de travail critique le fait que la possibilité d’une collecte arbitraire de données par les autorités américaines n’a pas été éliminée. En outre, il subsiste des incertitudes considérables quant aux conditions dans lesquelles les autorités américaines peuvent avoir accès à des données personnelles se trouvant aux États-Unis. En outre, la compétence de l’ombudsman devrait être réglée plus clairement.