Le CEPD juge le Pri­va­cy Shield insuffisant

Français 
Français  Deutsch  English 

Contenu 

Le Con­trô­leur euro­pé­en de la pro­tec­tion des don­nées, Gio­van­ni But­tar­el­li (“CEPD”), s’est expri­mé sur le Pri­va­cy Shield le 30 mai 2016 (Opi­ni­on 4/2016 ; PDF). Il en arri­ve notam­ment à la con­clu­si­on suivante :

Le pro­jet de Pri­va­cy Shield peut être un pas dans la bon­ne direc­tion, mais tel qu’il est actu­el­le­ment for­mulé il n’in­clut pas suf­fi­sam­ment, à not­re avis, tous les moy­ens appro­priés pour pro­té­ger les droits indi­vi­du­els de l’UE à la vie pri­vée et à la pro­tec­tion des don­nées, y com­pris en ce qui con­cer­ne les recours judi­ciai­res. Des amé­lio­ra­ti­ons signi­fi­ca­ti­ves sont néces­saires si la Com­mis­si­on euro­pé­en­ne sou­hai­te adop­ter une décis­i­on appro­priée.. En par­ti­cu­lier, l’UE dev­rait obte­nir des réassu­ran­ces sup­p­lé­men­tai­res en ter­mes de néces­si­té et de pro­por­ti­on­na­li­té, au lieu de légiti­mer l’ac­cès de rou­ti­ne aux don­nées trans­fé­rées par les auto­ri­tés amé­ri­cai­nes sur la base de critères ayant une base léga­le dans le pays desti­na­tai­re, mais pas en tant que tels dans l’UE, com­me affir­mé par les trai­tés, les décis­i­ons de l’UE et les tra­di­ti­ons con­sti­tu­ti­on­nel­les com­mu­nes aux États membres.

En out­re, à l’è­re de la hau­te hyper­con­nec­ti­vi­té et des réseaux dis­tri­bués, l’au­to­ré­gu­la­ti­on par des orga­ni­sa­ti­ons pri­vées, ain­si que la repré­sen­ta­ti­on et les enga­ge­ments des pou­voirs publics, pour­rai­ent jouer un rôle à court ter­me mais ne suf­fi­rai­ent pas à garan­tir les droits et les inté­rêts des indi­vi­dus et à satis­fai­re plei­ne­ment les beso­ins d’un mon­de numé­ri­que glo­ba­li­sé où de nombreux pays sont désor­mais équi­pés de règles de pro­tec­tion des données.

Par con­sé­quent, une solu­ti­on à plus long ter­me serait la bien­ve­nue dans le dia­lo­gue trans­at­l­an­tique, afin d’in­scr­i­re éga­le­ment dans le droit fédé­ral con­traignant au moins les prin­cipes fon­da­men­taux des droits à être clai­re­ment et con­crè­te­ment iden­ti­fi­és, com­me c’est le cas avec d’aut­res pays non mem­bres de l’UE qui ont été ’stric­te­ment éva­lués’ com­me assu­rant un niveau de pro­tec­tion adé­quat ; ce que le CJUE a expri­mé dans son juge­ment Schrems com­me signi­fi­ant ‘essen­ti­el­le­ment équi­va­lent’ aux nor­mes appli­ca­bles en ver­tu du droit de l’UE, et qui, selon le par­ti de tra­vail Artic­le 29, signi­fie con­tenant ‘l’e­s­sence des prin­cipes fon­da­men­taux’ de la pro­tec­tion des données

Le CEPD remar­que éga­le­ment que le pro­jet de décis­i­on d’a­dé­qua­ti­on pour le Pri­va­cy Shield est basé sur la direc­ti­ve sur la pro­tec­tion des don­nées, alors que le RGPD ent­rera en vigueur en 2018.