Visiblement peu réjoui de l’adoption récente du Privacy Shield, le député Lionel Tardy (LR) vient de questionner le Garde des Sceaux sur la position défendue par les autorités françaises et les marges de manoeuvre de la CNIL pour en contrôler le respect. 

« Manque de garanties concrètes, incertitude sur l'application pratique de certains principes, etc. » voilà en quelques coups de griffes résumé par Lionel Tardy l’accord dit du bouclier « vie privée ». Ce Privacy Shield récemment adoubé par la Commission européenne avec le soutien de la quasi-totalité des États membres vient remplacer l’accord du Safe Harbor. Derrière ces anglicismes un peu chimiques se cache un mécanisme d’une importance capitale, et pas seulement pour l'estomac des GAFA.

Du Privacy Shield au Safe Harbor

C’est en effet ce dispositif juridique qui les autorise, à titre principal, à transférer les données personnelles des Européens outre-Atlantique, aux fins de traitements automatisés. Un tel système fait des États-Unis un « port sûr » car ces informations sensibles sont censées y être traitées avec le même niveau de garanties que dans nos modestes contrées. Seulement, la première version – le Safe Harbor- n’était pas au goût des juges de la CJUE qui ont décapité la décision de la Commission prise en 2000. Accès de la NSA sur ces flux de vie privée, aucun droit au juge pour les Européens… il n’en fallait pas plus pour que les juges ferment les vannes le 16 octobre 2015 derniers dans ce fameux arrêt Schrems.

Son successeur, le Privacy Shield, fraichement signé entre la Commission et les États-Unis, commence désormais son intrépide vie. S’agissant d’un mécanisme volontaire, Google et près de 200 autres entreprises ont déjà déposé leur candidature auprès du Commerce américain afin de protéger le pipeline européen. 

En attendant, les débats se poursuivent dans les États membres. La CNIL et ses homologues misent tout sur la clause dite de revoyure, qui permettra – espèrent-elles - de vérifier annuellement si les garanties prévues sont effectives et efficaces. En l’état, le G29, qui réunit l’ensemble de ces autorités de contrôle, a déjà taclé le « manque de garantie concrète » visant à interdire la collecte de masse dans le document tout juste adopté.  

La position française, les marges de manoeuvre de la CNIL

De son côté, le député Lionel Tardy veut surtout lever le voile sur deux points particuliers. D’une part, la position de la France – et pas seulement de la CNIL – sur cet accord si décrié. Paris et Berlin, notamment, ont voté ce texte contrairement à quatre autres États qui se sont abstenus (Autriche, Slovénie, Croatie et Bulgarie). Quelques semaines plus tôt, le ministre de la Justice avait pourtant adressé une lettre à la Commission pour réclamer « des dispositions tangibles, garantissant l’effectivité des droits des citoyens européens, de même qu’une sécurité juridique pour les entreprises ». La réponse attendue par le député LR permettra donc de savoir si toutes les inquiétudes du Garde des Sceaux ont été levées.

Dans sa foulée, le même élu veut connaître « les marges de manœuvre dont disposera la Commission nationale de l'informatique et des libertés pour contrôler cet accord ». Sur ce point, Isabelle Falque-Pierrotin, présidente de la Commission et du G29, a aussi prévenu que l'appréciation juridique faite par le G29 serra utile à l’avenir, en particulier « s'il y a des plaintes ou des actions devant la CJUE ».