in

G29 et Privacy Shield, rendez-vous en 2017? Et peut-être devant la CJUE, qui sait ? Par Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons

Le 26 juillet dernier, le G29 (rassemblant l’ensemble des CNILs européennes) a publié son avis sur le Privacy Shield, à la suite de la décision d’adéquation rendue par la Commission européenne le 12 juillet 2016. Par cette décision, la Commission a reconnu que le nouveau mécanisme de transfert de données EU/US fournissait un niveau de protection « essentiellement équivalent » aux exigences européennes.

Pour rappel, le Privacy Shield est l’accord négocié dans l’urgence entre les Etats-Unis et la Commission Européenne, afin de remplacer le Safe Harbor, outil de transfert de données EU/US invalidé par la CJUE en octobre 2015.

En avril dernier, le Groupe de Travail de l’Article 29 avait déjà fait part de ses inquiétudes quant au projet de décision d’adéquation de la Commission : beaucoup de zones d’ombres voire même certaines incohérences.

S’il se réjouit aujourd’hui de constater que ses précédentes recommandations ont été prises en compte par la Commission, le G29 ne cache pas son inquiétude devant les lacunes persistantes de cet accord, comme notamment :

  • L’absence de règles spécifiques s’appliquant à la prise de décision automatisée ou encore au droit d’opposition ;
  • Le véritable flou existant quant aux conditions d’application des principes du Privacy Shield aux sous-traitants ;
  • L’insuffisance des garanties permettant d’assurer l’indépendance du médiateur ;
  • Des engagements sans véritable substance de la part des autorités américaines de ne pas opérer de surveillance massive des données.

C’est donc une position mitigée qu’a prise le G29, choisissant le parti de ne pas faire de vagues. Maximilian Schrems à l’origine de la saisine de la CJUE qui a ensuite invalidé le Safe Harbor s’est étonné de la position prise par le G29, qui équivaudrait selon lui à prendre l’engagement de ne pas faire son travail et à faire  de « la diplomatie politique ».

Dans les faits, la décision d’adéquation ayant déjà été adoptée par la Commission Européenne, la marge de manœuvre du G29 pour remettre en cause la version finale du Privacy Shield était plus que limitée.

Aussi, plutôt que d’attaquer en vain le Privacy Shield, le G29 a préféré miser sur sa révision annuelle pour vérifier son efficacité et la bonne tenue de leurs engagements par les Etats-Unis. En effet, le Privacy Shield doit être revu annuellement lors d’une réunion rassemblant notamment des membres de la Commission Européenne, du Département américain du Commerce et des CNILs européennes.

Rendez-vous en 2017 donc… 

Le G29 a d’ailleurs souligné que les résultats de cette première révision annuelle pourraient avoir un impact sur la validité d’autres outils de transferts de données hors UE (clauses contractuelles types et règles internes d’entreprises). Cette remarque du G29 fait écho à l’annonce récente de l’Autorité de protection des données personnelles irlandaise qui souhaite interroger la CJUE sur la validité juridique des clauses contractuelles types au regard du droit européen.

Les entreprises utilisant les clauses contractuelles types pour transférer leurs données vers les Etats-Unis doivent donc continuer d’être vigilantes, ces clauses étant toujours menacées d’extinction. Une extinction qui, encore une fois, est remise à plus tard par le G29. Par conséquent, ces outils de transferts demeurent autorisés, jusqu’à nouvel ordre.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.