Pour Vera Jourova, commissaire européenne pour la Justice, « avec 5 000 sociétés participantes, le bouclier de protection des données est une réussite », « a success story » dans la version anglaise du discours. Le 23 octobre 2019, la Commission européenne a donc donné son approbation au Privacy Shield dans son troisième rapport de suivi annuel de cet accord. Elle s’est réjouie des améliorations apportées et de la nomination (enfin !) d’un médiateur américain en la personne de Keith Krach, sous-secrétaire du département d’Etat. Elle a aussi rappelé qu’un nombre croissant de citoyens de l’Union font usage de leurs droits au titre du Privacy shield, sans donner plus de précisions, et a jugé que les mécanismes de recours appropriés fonctionnent correctement.
Ce satesficit diplomatique de la Commission européenne ne saurait cacher les faiblesses de cet accord, loin d’être complètement parfait en termes de protection, mais qui permet les indispensables transferts transatlantiques de données. Après avoir tapé du poing sur la table pour obliger Washington à désigner un médiateur, ce qui fut fait en juin, Bruxelles met de l’eau dans son vin. Pour mieux faire passer ses exigences ? La Commission demande en effet au département du Commerce de renforcer le processus de re-certification et de réduire le temps d’instruction, d’élargir les contrôles d’évaluation de la conformité des entreprises aux principes du bouclier des données, de développer des outils pour la détection des fausses déclarations, de diffuser des orientations concernant les ressources humaines. Elle estime aussi que la Commission fédérale du commerce devrait renforcer ses enquêtes sur la conformité avec les exigences de fond du bouclier des données et l’informer des enquêtes en cours.
Plus question de signer et de laisser vivre l’accord sans contrôle, comme ce fut le cas pour le Safe Harbor. Mais est-on vraiment plus protégé qu’avant ? Certes Google LLC, Facebook Inc., Microsoft Inc. et 11 de ses filiales ont adhéré au Privacy Shield. Mais qu’est-ce qui nous garantit contre la surveillance massive des communications dénoncée par Snowden, et à laquelle ces sociétés ont participé ?
C’est la question qui a été posée au Tribunal de l’Union européenne par la Quadrature du net, voici trois ans. L’association française estime que le Privacy Shield, bien que moins vague que le Safe Harbor, continue de permettre la surveillance de masse et demande son invalidation. Cette procédure est cependant suspendue à la décision de la Cour de justice de l’UE dans l’affaire Schrems. Dans la foulée de l’invalidation du Safe Harbor dans le cadre de son contentieux contre Facebook, Max Schrems s’est attaqué aux clauses contractuelles types de la Commission. Dans le cadre des onze questions préjudicielles posées, la Cour devra se prononcer sur le Privacy Shield.
L’arrêt est attendu pour la fin de l’année.