Le G29, groupe rassemblant les autorités de protection des données personnelles des pays membres de l’Union européenne, s’est réuni les 12 et 13 avril pour discuter du nouveau cadre de réglementation des transferts de données transatlantiques, le Privacy Shield. L’issue de cette réunion de débats montre que l’on n’est pas encore parvenu à résoudre le casse-tête. 

 

Petit rappel des faits…

Suite à l’invalidation en octobre dernier du pacte Safe Harbor, utilisé par des entreprises américaines pendant 15 ans, les autorités américaines et européennes ont proposé un nouveau texte en février. L’accord Privacy Shield devait permettre d’instaurer un nouveau cadre pour les transferts de données entre l’Europe et les Etats-Unis.

Bien que la Commission Européenne ait déclaré lors de l’annonce de la création du Privacy Shield qu’il s’agissait d’un “cadre fort” qui “protégerait les droits fondamentaux des Européens lorsque leurs données personnelles sont transférées à des compagnies américaines”, le G29 avait réservé son jugement, souhaitant d’abord examiner le texte en profondeur.

Les entreprises qui s’étaient appuyées sur Safe Harbor – elles sont au moins au nombre de 4000 – attendent impatiemment depuis février d’en savoir plus sur ce nouveau texte, afin de savoir si elles vont pouvoir l’utiliser et quitter ainsi la zone d’incertitude légale dans laquelle elles sont plongées depuis l’invalidation de Safe Harbor.

people-new-york-train-crowd

Que pensent les organismes de protection des données européens du Privacy Shield ?

En février, le G29 avait prévenu qu’il s’octroierait un délai de deux mois pour examiner en détails le contenu exact du texte afin de formuler une opinion à son sujet. Le G29 s’est réuni durant deux jours, les 12 et 13 avril, avant d’officialiser son évaluation du Privacy Shield.

Le jugement rendu a été rendu public et est disponible ici. En résumé, d’un côté, le G29 salue une amélioration majeure par rapport à Safe Harbor, notamment en ce qui concerne l’aspect commercial : des efforts ont été fournis pour définir un meilleur encadrement des transferts de données personnelles.

Mais, d’un autre côté, le G29 a signalé un certain nombres d’inquiétudes majeures, dont notamment :

  • La complexité de l’accord en lui-même ;
  • L’absence de protection empêchant la collecte massive de données des citoyens européens de la part des programmes de surveillance américains, ce qui fait dire au Groupe que l’accord n’est pas à la hauteur des standards réglementaires européens en la matière ;
  • La complexité des mécanismes légaux permettant aux citoyens européens de faire appel en cas d’utilisation abusive de leurs données;
  • Le manque de garanties concernant l’indépendance du statut du médiateur en tant qu’autorité.

PENTAX Image


Que va-t-il advenir désormais ?

Le Groupe 29 a exigé de clarifier certains points de l’accord Privacy Shield. Dans tous les cas, le texte est toujours en cours de finalisation et ne devrait pas être prêt avant la fin du mois de juin au mieux. La Commission Européenne devrait avoir le dernier mot.

Bien que le jugement du Groupe 29 n’implique pas de conséquences légales directes, il influencera les décisions futures sur le sujet et il pourrait fragiliser la confiance que les différents acteurs portent à cet accord. Cela engendrait encore plus de confusion pour les entreprises qui ont déjà dû gérer beaucoup d’incertitudes depuis l’invalidation de Safe Harbor.

La Commission Européenne est censée demander des recommandations au Groupe 29, mais aussi à un comité composé de représentants des Etats Membres. Selon certains experts, il semble peu probable qu’elle change de position alors qu’elle soutient cet accord, et qu’elle accepte de retourner au stade d’élaboration d’un nouvel accord avec les Etats-Unis.

Faute de décision réelle à ce stade, les entreprises devront se contenter d’attendre la suite des événements. Nous allons continuer à suivre cette affaire pour vous tenir informés sur le blog, comme nous l’avons fait ces dernières semaines. En attendant, soyez assuré que, si vous êtes utilisateur de Mailjet, vous n’avez pas à vous inquiéter du statut de vos données ou de celles de vos clients, car tous nos serveurs sont basés en Europe et nous respectons scrupuleusement la réglementation européenne en la matière.