Le Contrôleur européen de la protection des données (« CEPD ») a publié le 22 janvier 2019 son rapport sur le deuxième examen annuel du fonctionnement du bouclier de protection des données : le « Privacy Shield ». Ce second examen s’est tenu en octobre 2018 à l’initiative de la Commission européenne.

Lors du premier examen annuel, la Commission européenne avait formulé un certain nombre de recommandations afin d’améliorer le fonctionnement pratique du Privacy Shield. Dans son rapport, le CEPD pointe du doigt les efforts réalisés par les autorités américaines. Cependant, il constate la persistance de nombreuses insuffisances.

Le renforcement du contrôle de la certification au Privacy Shield par le Ministère du commerce américain

Le rapport met en exergue le renforcement par le Ministère du commerce du processus de certification initial afin de minimiser les incohérences relatives à la liste d’adhérents au Privacy Shield.

Le CEPD relève également la mise en place d’une surveillance proactive trimestriellement du Privacy Shield par le Ministère du commerce. Ce dernier a ainsi mis en place des contrôles sur place. Il sélectionne de manière aléatoire des sociétés pour vérifier qu’elles respectent les principes du Privacy Shield. Des analyses des sites internet des adhérents au Privacy Shield ont également été mises en place afin de s’assurer que les liens renvoyant vers les politiques de protection de la vie privée sont actifs et corrects. En cas d’identification par le Ministère du commerce d’une entreprise ne respectant pas les principes du Privacy Shield, ce dernier retire alors l’entreprise en cause de la liste des actifs.

Même si ces améliorations vont dans le bon sens, les vérifications mises en place par le Ministère du commerce ne vont pas aussi loin qu’il le faudrait selon le CEPD. En effet, la majorité des entreprises ne respectent pas en substance les principes du Privacy Shield. Or, les contrôles réalisés par le Ministère du commerce n’ont pour l’instant pour objet qu’une simple vérification des formalités réalisées par les entreprises. Ils n’ont à ce stade pas vocation à contrôler le respect des principes essentiels du Privacy Shield, à savoir notamment le respect du principe de nécessité et de proportionnalité des traitements mis en œuvre.

En outre, le CEPD relève que le processus de renouvellement de la certification doit être encore affiné, la liste du Privacy Shield contenant ainsi des noms obsolètes entrainant une confusion pour les personnes concernées.

Le traitement ultérieur de données doit devenir un point d’attention particulier

Le CEPD a rappelé l’importance de surveiller les transferts ultérieurs de données réalisés sur les données personnelles des européens par les entreprises certifiées, dès lors que de tels transferts peuvent conduire à la transmission de ces données à des pays en dehors de l’Union européenne et des Etats-Unis. Il a notamment suggéré au Ministère du commerce d’exercer son droit de demander aux entreprises de produire les contrats conclus avec des tiers afin de vérifier les garanties mises en œuvre pour de tels transferts.

L’accès à des données personnelles par les autorités publiques américaines à des fins de sécurité nationale

La transmission par les autorités américaines de documents relatifs à la sécurité nationale a été salué par le CEPD, ces derniers ayant été déclassifiés. Néanmoins, le CEPD déplore toujours une collecte massive et indifférenciée des données personnelles des européens par les autorités américaines.

L’attente de la nomination d’un médiateur permanent

La nomination d’un médiateur est une amélioration importante selon la CEPD dans les recours offerts aux européens. Cependant, le CEPD pointe du doigt l’absence de caractère permanent du médiateur et la facilité pour les autorités américaines de licencier ce dernier. Il est donc attendu du gouvernement américain qu’il propose un candidat pour le poste de médiateur à titre permanent. Jusqu’à ce qu’une nomination soit faite, le CEPD considère que le médiateur ne dispose pas encore des pouvoirs suffisants pour être qualifié de recours effectif pour les européens.

Des améliorations ont donc été identifiées par le CEPD. Néanmoins, il reste de nombreux points à consolider avant de considérer que le Privacy Shield offre des garanties suffisantes et efficaces pour le respect de la vie privée des européens. Il persiste donc un risque important d’annulation de la décision d’adéquation du Privacy Shield. Il est donc recommandé de privilégier le recours aux mécanismes des Clauses Contractuelles Types qui semble apporter plus de sécurité juridique quand bien même celles-ci sont pendantes devant la Cour de justice de l’Union européenne.