Ça coince pour le successeur du Privacy Shield

L’une des commissions du Parlement européen estime insuffisants les engagements des États-Unis sur le successeur du Privacy Shield.

L’UE, encore loin d’un consensus sur le successeur du Privacy Shield ? Une ébauche de proposition de résolution le suggère. Elle émane de la commission des libertés civiles, de la justice et des affaires intérieures au Parlement européen.

Constat, dans les grandes lignes : les engagements des États-Unis sur ce futur cadre potentiel de protection des flux transatlantiques de données personnelles (Data Privacy Framework) sont insuffisants.

La proposition de résolution en question attire notamment l’attention sur les principes de proportionnalité et de nécessité. Elle considère que les USA n’en ont pas la même interprétation que l’UE.

Autre remarque : l’ordre exécutif qui contient ces engagements n’interdit pas les collectes massives de données, y compris pour les contenus des communications. Le président américain a par ailleurs toute latitude pour étendre la liste des bases légitimes de collecte au nom de la sécurité nationale, sans avoir à rendre ses décisions publiques.

Les mêmes faiblesses que le Privacy Shield ?

Dénoncé également, le mécanisme de recours à deux niveaux pour les personnes estimant que leurs données ont fait l’objet de traitements « contraires à la loi américaine ».

Au premier doit se trouver un « responsable de la protection des libertés civiles » placé sous la responsabilité du directeur du renseignement national. Au deuxième, un « tribunal indépendant ». Qui, dans les grandes lignes, examinera les décisions de ce responsable ; et déterminera, en cas de violation, les remèdes à mettre en œuvre.

Pour Max Schrems et l’association NOYB (None of Your Business) dont il est fondateur, ce « tribunal indépendant » n’en est pas un. En tout cas au sens de la Charte des droits fondamentaux de l’UE, article 47 (« Droit à un recours effectif et à accéder à un tribunal impartial »). Motif : il s’agira d’un organe partie intégrante de l’exécutif américain. Donc une simple « mise à jour » du mécanisme d’ombudsman qu’incluait le Privacy Shield… et que la CJUE avait rejeté.

La commission des libertés civiles note elle aussi que ce « tribunal » fait partie de la branche exécutive. Elle note également que ses décisions ne seront ni publiées, ni mises à disposition des plaignants. Lesquels seront, en outre, représentés par des « avocats spéciaux » qu’aura désignés ce tribunal sans exigence d’indépendance.

La proposition de résolution va plus loin à propos du mécanisme de recours. Elle aborde aussi l’absence d’obligation de notifier les plaignants si leurs données personnelles ont effectivement été traitées. Ce qui compromet les droits d’accès et de rectification que leur garantit le RGPD. Il n’existe enfin aucune voie d’appel devant la justice fédérale ; et donc aucune possibilité de demander des dédommagements.

Ces constats s’assortissent d’un appel à la Commission européenne, qui a enclenché en décembre dernier le processus d’adoption de ce nouveau cadre : prière de poursuivre les négociations avec Washington.

Lire aussi : Le Data Privacy Framework adopté : l’engrenage est (re)lancé