Hier, dans un blog, John Frank, le vice-président de l’Union européenne aux affaires gouvernementales, et ancien vice-président et avocat-conseil de la firme de Redmond, a indiqué que Microsoft allait demander l'autorisation de procéder à des transferts de données en vertu de l’accord. Il a promis que la firme de Redmond répondrait aux plaintes relatives aux atteintes à la vie privée sous 45 jours, et qu’elle se conformerait aux recommandations des autorités nationales de protection des données en cas de litige. Cependant, il précise que l'accord ne va pas assez loin, et que les responsables américains et européens ont encore du travail. Selon John Frank, « des mesures supplémentaires seront nécessaires pour étendre la portée du Privacy Shield après son adoption, aussi bien en ce qui concerne les législations nationales que les systèmes d'entraide judiciaire, et appelleront la signature de nouveaux accords bilatéraux et multilatéraux ».

Microsoft a donné son quitus à l’accord de transfert transatlantique des données deux jours avant que les autorités de protection des données de l'Union européenne ne fassent connaître leur avis. Le Privacy Shield a été négocié pour remplacer l'accord Safe Harbor de juillet 2000, invalidé en octobre dernier par la Cour de justice de l'UE, au motif que l’ancien accord était incompatible avec les lois sur la vie privée de l’Union européenne. Selon ces lois, les données personnelles des citoyens de l'UE ne peuvent être exportées vers un autre pays uniquement si elles bénéficient dans ce pays d’un niveau de protection équivalent. La Cour de Justice avait estimé que l'accord Safe Harbor n’offrait pas aux citoyens européens une protection équivalente quand leurs données étaient transférées sur le territoire américain.

Les autorités de protection des données allemandes contre le Privacy Shield ?

Au mois de février dernier, les représentants de la Commission européenne avaient déclaré, lors de la présentation du nouvel accord, que le Privacy Shield corrigeait tous les défauts du Safe Harbor. Ils avaient également publié un projet de « décision d'adéquation », instrument juridique indispensable pour ajouter le Privacy Shield à la liste des mécanismes de transfert de données acceptables, selon les termes de la directive sur la protection des données votée en 1995 par l'Union européenne. Dans ce projet, la Commission se prévalait également du soutien du groupe de travail Article 29, qui réunit les autorités nationales de protection des données de l'UE. Or, le groupe de travail n'a pas encore donné son avis : depuis le mois de février, le groupe décortique le Privacy Shield et il doit livrer son analyse lors d’une réunion prévue d’ici mercredi.

Selon un document d'information publié par erreur la semaine dernière sur leur site Internet, les autorités de protection des données allemandes sont contre le Privacy Shield. Le document, publié par l'avocat allemand Carlo Piltz sur son blog, appelle le groupe de travail à rejeter le Privacy Shield, qu’il juge insuffisant par rapport au droit communautaire. Le document appelle le groupe de travail à déclarer : « Tant que ces questions ne seront pas résolues, le groupe de travail Article 29 estime qu'il n’est pas en mesure de donner un avis général sur le projet de décision d'adéquation. Il estime que certaines clarifications et préoccupations. - notamment en matière de sécurité nationale - peuvent également avoir un impact sur la viabilité des autres outils de transfert ». Il recommande également au groupe de travail de conclure : « Par conséquent, le WP29 n’est pas en mesure de confirmer que le projet de décision d'adéquation actuel assure un niveau de protection équivalent à celui offert pas l'UE ».

Un avis purement consultatif 

Selon le document mis en ligne par l’avocat Carlo Piltz, la délégation allemande demande que la Commission européenne retire du projet de décision d'adéquation toutes références au Groupe de travail. Il demande également à ce que le CJUE endosse la responsabilité du Privacy Shield, si la Commission décide de poursuivre sans prendre en compte les critiques du groupe Article 29. Comme l’a signalé vendredi Carlo Plitz, les autorités allemandes ont supprimé toutes les copies de ce document de leurs sites web. Le contenu de ce document n’a pas surpris Aaron Tantleff, avocat spécialisé en propriété intellectuelle chez Foley and Lardner. « Le but du Privacy Shield était de s’assurer que les États-Unis mettent en place un mécanisme de protection des données privées équivalent à celui qui existe dans l'UE. Or, d’après l’accord-cadre actuel du projet Privacy Shield, on peut voir que celui-ci ne satisfait pas à cette exigence », a-t-il déclaré. Quoi qu’il en soit, les autorités de protection des données n’ont pas le dernier mot sur le Privacy Shield. Leur avis est purement consultatif, et d'autres organismes doivent encore se prononcer sur le sujet, le Parlement européen en particulier.