Après l’adoption par la Commission européenne de la décision d’adéquation du mécanisme du Privacy Shield le 12 juillet dernier, Maximilian Schrems avait déclaré qu’au vu des incertitudes juridiques inhérentes à cet accord, peu d’entreprises devaient se risquer à y adhérer. Depuis son entrée en vigueur le 1er août, moins d’une centaine d’entreprises, dont Microsoft et Salesforce, sur les 200 candidates, possèdent désormais ce passeport pour leurs flux transatlantiques de données. Google devrait bientôt l’obtenir.
Elles étaient près de 5 500 compagnies à avoir adhéré au feu-Safe Harbor. Le nouveau dispositif n’est pas très éloigné du précédent et les entreprises qui s’étaient soumises au Safe Harbor n’auraient que quelques ajustements à apporter pour être conformes au nouvel accord. Pourtant, les candidats ne se bousculent pas. Certes, nous n’en sommes qu’au début du processus, mais ce faible chiffre est révélateur d’une réelle gêne suscitée par les incertitudes juridiques et judiciaires qui pèsent sur le Privacy Shield. Le représentant de DigitalEurope, dont Apple, Google et Microsoft font partie, n’a pas hésité à déclarer publiquement que « tout le monde sait que le Privacy Shield va se retrouver à nouveau devant la Cour de justice de l’Union européenne ».
La CJUE avait invalidé, le 16 octobre 2015, la décision de la Commission européenne sur le Safe Harbor en raison de l’absence de garanties contre la surveillance massive des citoyens européens par les autorités américaines et de recours effectif outre-Atlantique pour ces personnes. Même si des avancées ont été consenties par les Américains pour se rapprocher des standards de l’UE, force est de constater que la surveillance des données des Européens par les Etats-Unis reste possible pour des motifs de « sécurité nationale » ou lorsque « l’intérêt public » est en cause ainsi que la collecte massive de données quand un ciblage individuel est inenvisageable. Des voies de recours ont été prévues mais elles sont tellement complexes que, à moins d’être aussi tenace et obsessionnel que Maximilian Schrems, elles risquent fort de ne pas être mises en œuvre. La Commission européenne a publié un guide à destination du public afin de renseigner les personnes sur leurs droits, la protection que procure le Privacy Shield et les voies de recours en cas d’utilisation illicite de leurs données. A noter que ce vade-mecum n’est disponible qu’en anglais, à ce jour. Que la plupart des citoyens européens qui ne maîtrisent pas la langue de Shakespeare se débrouillent !
Soumise à une forte pression des Etats-Unis et du secteur des technologies de l’information, la Commission européenne a conclu un accord qu’elle sait très imparfait. Elle n’a pas vraiment tenu compte des critiques du G29. Si après son adoption, le groupe des Cnil a souligné les avancées du Privacy Shield, il a aussi réitéré ses préoccupations quant au manque de garanties concrètes contre la collecte massive de données européennes. Le G29 peut encore, éventuellement, peser sur le mécanisme de révision annuelle du texte. Ses appréciations pourraient nourrir le raisonnement de la CJUE, si un recours devait lui être soumis. Ce que d’aucuns estiment inéluctable. Si c’était le cas, le Privacy Shield disposerait d’un répit de quelques années avant un nouvel arrêt.