Un an après sa décision d’adéquation du Privacy Shield, la Commission publie son premier rapport à ce sujet.
Pour rappel, dans sa décision d’adéquation du 12 juillet 2016, la Commission a décidé que le Privacy Shield ou bouclier de protection des données assurait un niveau de protection adéquat pour les données personnelles transférées depuis l’Union Européenne vers les Etats-Unis.
Le Privacy Shield fait suite à l’invalidation du Safe Harbor par l’arrêt « Schrems »du 6 octobre 2015 (C-362/14).
Un an après cette décision d’adéquation, la Commission publie son premier bilan sur le Privacy Shield.
Celle-ci considère que le bouclier de protection des données continue d’assurer un niveau adéquat et rappelle qu’il prévoit des éléments novateurs par rapport au Safe Harbor, qui renforcent la protection des données personnelles transférées aux Etats-Unis. Elle évoque notamment l’engagement du gouvernement américain à ce que l’accès aux données personnelles des européens par les autorités publiques soit sujet à limitations et garanties ou encore la création de l’Ombudsperson.
Elle tempère toutefois en précisant que celui-ci peut être amélioré et formule à ce titre 10 recommandations :
- que les sociétés ne puissent pas communiquer sur leur certification Privacy Shield tant que la procédure n’est pas finalisée par le Département du commerce américain ;
- que le Département du commerce américain :
- recherche pro activement les fausses déclarations d’adhésion au Privacy Shield ;
- mette en œuvre des procédures de vérification de la conformité des entreprise qui se sont auto-certifiées ;
- elle encourage le Département et les autorités de protection des données :
- à poursuivre leurs efforts de sensibilisation sur le sujet ;
- à coopérer, si besoin avec la FTC, pour développer des lignes directrices sur certains concepts du Privacy Shield qui nécessitent clarification ;
- de lancer une étude sur la question des prises de décisions automatisées concernant des données d’européens transférées dans le cadre du Privacy Shield ;
- elle propose d’entériner les protections offertes par la Directive Présidentielle (Presidential Policy Directive 28), afin d’encadrer les opérations de renseignement dans le Foreign Intelligence Surveillance Act – FISA – (loi du Congrès des États-Unis de 1978 décrivant les procédures des surveillances physiques et électronique, ainsi que la collecte d’informations sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères) ;
- que l’Ombudsperson (personne indépendante des services de renseignements US en charge de confirmer ou non la conformité) soit nommé de manière permanente dès que possible ;
- que soient rapidement désignés les membres du PCLOB qui est un organe indépendant chargé, notamment, de surveiller les principaux programmes d’espionnage de la NSA ;
- enfin, que les autorités américaines respectent leurs engagements de fournir à la Commission des informations récentes et exhaustives sur des améliorations pouvant s’avérer pertinentes.
