Données personnelles : le G29 discute le Privacy Shield

Données personnelles : le G29 discute le Privacy Shield

Le G29 réunit les « CNIL » européennes depuis sa création par les directives n° 95/46/CE et 97/66/CE. Alors que la Commission européenne annonçait, après l’affaire Facebook, l’accord Privacy Shield (bouclier des données personnelles) avec les Etats-Unis qui avaient perdu leur statut de safe harbor, le G29 semble critique.

La CNIL (https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield) précise ainsi – et l’avis est d’importance par la résistance qu’il manifeste : « Le G29 a mené son analyse à la lumière du cadre juridique européen applicable en matière de protection des données (Directive 95/46/EC), ainsi que des droits fondamentaux à la vie privée et à la protection des données garantis tant par la Convention européenne des droits de l’Homme (Article 8) que par la Charte des droits fondamentaux de l’Union européenne (Articles 7 & 8). L’objectif de cette analyse consiste à s’assurer que les transferts de données personnelles qui seront réalisés dans le cadre du Privacy Shield respectent un niveau de protection « essentiellement équivalent » aux exigences européennes, pour reprendre l’expression utilisée par la Cour de justice de l’Union européenne dans l’arrêt Schrems du 6 octobre 2015. Le G29 tient tout d’abord à souligner les améliorations significatives apportées par le Privacy Shield par rapport à la décision Safe Harbor de 2001 (…) : l’insertion de définition clés ; les mécanismes mis en place pour assurer le contrôle du respect des principes garantis par le Privacy Shield et notamment les audits de conformité internes et externes. » 

Cependant, la CNIL souligne que le G29 « déplore que le Privacy Shield se compose d’une grande variété de documents. De ce fait, les principes et les garanties apportées par le Privacy Shield se retrouvent à la fois dans la décision d’adéquation et dans ses annexes, ce qui rend l’analyse complexe et contribue à un manque général de clarté.(…) En ce qui concerne le volet commercial, le G29 considère que des principes clés de la protection des données tels que définis dans la loi européenne n’ont pas leur équivalent dans la décision d’adéquation et les annexes ou ont été remplacés de façon inadéquate par des notions alternatives. En particulier, les modalités d’application du principe de finalité limitée du traitement de données demeurent peu claires. Le principe de durée de conservation limitée des données n’est pas expressément mentionné et ne peut pas se déduire de façon précise en l’état des documents analysés. De plus, il n’existe pas de disposition dédiée à la protection qui devrait être offerte lorsque des décisions individuelles automatisées sont prises sur le seul fondement d’un traitement automatisé de données. »

A suivre donc.

 

Frédéric Fournier
Avocat Associé

Laisser un commentaire