Le 30 mai 2016, le contrôleur européen de la protection des données (CEPD), Giovanni Buttarelli, a pointé dans un avis assorti de recommandations un certain nombre de lacunes qu’il identifie dans le projet d’accord entre l’UE et les Etats-Unis sur le transfert de données personnelles à des fins commerciales. Actuellement en cours de négociations, ce projet d’accord, connu sous le nom de "Privacy shield" est censé succéder à l’accord Safe Harbour que l’arrêt Schrems a invalidé le 6 octobre 2015.

Ce projet d’accord a déjà fait l’objet d’une analyse pour le moins critique de la part du Groupe Article 29, auquel appartient le CEPD. Le Parlement européen s’est aussi saisi du sujet dans une résolution non-législative adoptée le 26 mai dernier.

Le contrôleur européen de la protection des données, autorité de contrôle indépendante, estime notamment qu’en l’état, le Privacy Shield risquerait d’être contesté devant la Cour de Justice, comme l’a été le Safe Harbour auparavant. A ses yeux, des améliorations substantielles devraient être apportées  avant que la Commission n'adopte sa décision d'adéquation, notamment sur les aspects de nécessité, de proportionnalité et les voies de recours pour les citoyens européens.

 Le CEPD souhaite notamment que l’accord prévoie davantage de garde-fous en ce qui concerne la surveillance de masse et les obligations de supervision. De ce point de vue, le CEPD dénonce un accord qui, en l’état, "légitimise un accès de routine aux données transférées par les autorités américaines sur la base de critères qui ont leur base légale dans le pays destinataire et non dans l’Union européenne". Alors que le Safe Harbour prévoyait l’accès aux données transférées pour des raisons de sécurité comme une "exception", l’attention apportée dans le projet de Privacy shield à l’accès, au filtrage et à l’analyse par les autorités et les services de renseignement des données personnelles transférées pour des raisons commerciales donne au CEPD l’impression que "l’exception est devenue la règle".

Le CEPD insiste aussi sur la nécessité de développer une solution à long terme dans les échanges de données avec les Etats-Unis, de façon à acter les grands principes de la protection des données en vigueur dans l’Union européenne. Il ne manque pas de relever aussi que le futur règlement sur la protection des données entrera en vigueur en mai 2018, moins d’un an après la pleine mise en œuvre du futur Privacy Shield. Or, ce règlement va bien au-delà des neuf principes développés dans le Privacy Shield, ce qui d’ores et déjà en en cause sa pérennité.