Le Groupe de travail 29 ou G29 (Article 29 Data Protection Working Party – WP 29), organe consultatif européen indépendant sur la protection des données et de la vie privée, a procédé à l’évaluation de laccord « Privacy shield » à la lumière du cadre juridique de protection des données de l’Union européenne figurant dans la directive 95/46/CE, ainsi que les droits fondamentaux à la vie privée et la protection des données énoncés à l’article 8 de la Convention sur les droits de l’Homme et aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.
Bien que l’ensemble de l’accord paraisse satisfaisant, le Groupe de travail soulève des inquiétudes sur les aspects commerciaux et l’accès par les pouvoirs publics aux données transférées dans le cadre du « Privacy shield ».
En ce qui concerne les aspects commerciaux, le G29 considère que certains principes de protection des données clés telles que décrites dans la législation européenne ne sont pas pris en compte dans le projet de décision ou ont été insuffisamment couverts par des notions alternatives. En particulier, l’application du principe de la limitation de la finalité du traitement des données est peu claire.
Le Groupe de travail constate également que le principe de la conservation des données n’est pas expressément mentionné et ne peut pas être clairement interprété dans la formulation actuelle du texte.
En outre, il n’y a pas un libellé spécifique sur la protection qui devrait être accordée contre les décisions individuelles automatisées basées uniquement sur le traitement automatisé.
Enfin, malgré la mise en place de recours supplémentaires mis à la disposition des individus pour exercer leurs droits, le Groupe de travail craint que, dans la pratique, le nouveau mécanisme de recours puisse se révéler trop complexe, difficile à utiliser pour les individus au sein de l’UE, en particulier dans une autre langue, et soit donc inefficace. Des précisions sur les différentes procédures de recours sont donc nécessaires. Les autorités de protection des données nationales de l’UE pourraient être considérées comme un point de contact naturel pour les individus de l’UE dans les différentes procédures, en ayant la possibilité d’agir en leur nom.
S’agissant de l’accès par les pouvoirs publics aux données transférées en vertu du « Privacy Shield », le Groupe de travail regrette que les représentants de l’Office américain du directeur du renseignement national (ODNI) ne fournissent pas suffisamment de détails afin d’exclure la collecte massive et aveugle des données personnelles provenant de l’UE.
Le Groupe de travail rappelle que la surveillance massive et sans discernement des individus ne peut jamais être considérée comme proportionnée et strictement nécessaire dans une société démocratique.
En conclusion, le Groupe de travail prend note les améliorations apportées par le « Privacy shield » par rapport à la décision « Safe Harbour » invalidée en octobre 2015.
Mais, compte tenu des préoccupations exprimées, il invite la Commission européenne à résoudre ces problèmes et à fournir les éclaircissements afin d’améliorer le projet de décision et à s’assurer que la protection offerte par le « Privacy shield » est en effet sensiblement équivalente à celle de l’UE.