Voilà un an, la Commission européenne adoptait le Privacy Shield. Un accord juridique destiné à ouvrir une voie principale au transfert de données de l’Europe vers des centres de traitement américains. Douze mois plus tard, les autorités de contrôle européennes, dont la CNIL en France, se préparent à l'évaluation conjointe de ce document vital.

Ce véhicule a été rendu nécessaire après la censure par la justice européenne du Safe Harbor. Ce précédent texte signé en 2000 avait été vertement sanctionné, et à travers lui la Commission, par la CJUE. D'une part, parce qu’il autorisait d’un côté la gloutonnerie des géants américains sans prévoir d'autre part, de garanties solides pour les citoyens européens. Dans cette décision dite Schrems, les révélations Snowden ont lourdement pesé dans l’analyse de la Cour épinglant le pont d’or au profit de la NSA notamment.

Ouverture du chantier de la révision annuelle  

Le texte adopté l’an dernier est censé corriger le tir. Selon les lignes directrices imposées par la CJUE, une clause de vérification annuelle a été intégrée au document final. L’enjeu ? Permettre à la Commission d'apprécier dans le temps, la solidité des engagements notamment américains.

Le Groupe de l’Article 29, entité qui regroupe l’ensemble des autorités de contrôles européennes, dont la CNIL en France, se prépare activement à ce rendez-vous fixé outre-Atlantique en septembre. D’ores et déjà, il a rédigé un courrier à destination de la Commission européenne pour faire connaître son analyse et ses recommandations.

« La mission aux États-Unis sera une mission d'enquête destinée à recueillir les informations pertinentes et les preuves permettant d’évaluer la robustesse du Privacy Shield, explique le G29 dans un communiqué aujourd’hui. Afin de s'assurer que les autorités américaines sont en mesure de répondre de manière constructive aux préoccupations sur l'application concrète du Privacy Shield, le G29 communiquera à la Commission les informations et éclaircissements relatifs à la partie commerciale de l’accord, l'application de la loi et au droit d’accès lié à la sécurité nationale ».

Vie privée et Privacy Shield 

Pour ce dernier point par exemple, les interrogations visent les récentes évolutions de la jurisprudence américaine sur l’autel de la vie privée. Le G29 veut également avoir des éléments tangibles sur la question de la collecte en vrac qui, lorsqu’elle existe, doit être aussi limitée que possible et dans tous les cas proportionnée. « La nécessité d’obtenir des informations » sur des aspects plus procéduraux est une autre préoccupation. En particulier, ce point concerne la nomination du médiateur ou l’intervention de l’Ombudsman. « Des éléments clés » de l'architecture du PrivacyShied.

Des remarques qui rejoingent celles déjà exprimées voilà quelques mois par les CNIL européennes. Le G29 a déjà désigné huit membres pour participer à l’opération de contrôle, dont des experts. Il compte suggérer aussi une liste de plusieurs autorités américaines dont la présence est jugée utile pour mener à bien ces travaux. Au final, le groupe demande à être auditionné avant diffusion du rapport final de la Commission européenne. Stratégiquement, il annonce d’ores et déjà qu’il se réserve le droit de publier son propre rapport, en appui des découvertes réalisées par les membres dépêchés aux États-Unis.

En plus de ces procédures, signalons que la Quadrature du Net, FDN et FFDN ont également attaqué le nouvel accord devant la CJUE. L'arrêt est attendu dans de longs mois.