Suite à l'adoption, le 8 juillet 2016 par les Etats membres et le 12 juillet 2016 par la Commission européenne, d'un nouveau cadre juridique négocié avec les Etats-Unis pour les transferts transatlantiques de données baptisé Privacy Shield ("bouclier de protection"), le groupe Article 29, regroupant les autorités nationales de protection des données, a publié une déclaration datée du 26 juillet 2016.

S'il y félicite la Commission européenne et les autorités américaines pour avoir pris en compte certaines de ses préoccupations qu'il avait émises dans son avis rendu le 13 avril 2016, le groupe Article 29 souligne néanmoins qu'un certain nombre de ses préoccupations demeurent, tant pour ce qui est des aspects commerciaux que pour l'accès des autorités publiques américaines aux données transférées depuis l'UE.

Concernant les aspects commerciaux, le groupe Article 29 regrette notamment le manque de règles spécifiques sur  les décisions basées sur un traitement automatisé des données et l'absence d'un droit général d'opposition.

Concernant l'accès des autorités publiques aux données transférées aux Etats-Unis dans le cadre du Privacy Shield, le groupe Article 29 avait attendu "des garanties plus strictes" concernant l'indépendance et les pouvoirs du médiateur américain. Ensuite, le groupe Article 29 note l'engagement du Bureau du directeur des services secrets (ODNI), dans une lettre figurant dans les annexes du Privacy Shield de ne pas conduire une collection en masse et systématique de données personnelles. Néanmoins, il regrette "le manque d'assurances concrètes qu'une telle pratique n'ait pas lieu".

"La première évaluation conjointe sera un moment clé pour mesurer la robustesse et l'efficacité du Privacy Shield"

Pour le groupe Article 29, la première des évaluations conjointes annuelles prévues par l'accord "sera un moment clé pour mesurer  la robustesse et l'efficacité du Privacy Shield". A cet égard, le groupe Article 29 demande que la compétence des autorités de protection des données  dans cette révision soit "clairement définie". En particulier, tous les membres de l'équipe devant œuvrer à cette révision devraient avoir "la possibilité d'accéder directement à toutes les informations nécessaires, dont les éléments permettant une évaluation correcte de la nécessité et de la proportionnalité de la collecte et de l'accès aux données transférées par les autorités publiques". Les résultats de l'évaluation conjointe, pour ce qui est de l'accès des autorités publiques américaines aux données, pourrait avoir "un impact" sur les outils de transfert tels que les Binding Corporate Rules (qui désignent le code de conduite définissant la politique d'une entreprise en matière de transferts de données personnelles)  et les Clauses contractuelles type (qui désignent pour leur part des modèles de contrats de transfert de données personnelles de la Commission européenne), dit le groupe Article 29.

Enfin, le groupe article 29 explique que dès que le Privacy Shield aura été adopté, "gardant en tête" l'arrêt Schrems du 6 octobre 2015 qui avait invalidé le précédent dispositif baptisé Safe Harbour et son avis du 13 avril 2016, les autorités européennes de protection des données réunies au sein du groupe Article 29, s'engagent "à assister proactivement et de manière indépendante les personnes concernées dans l'exercice de leurs droits sous le Privacy Shield, en particulier pour ce qui concerne les plaintes".

Pour finir, le groupe Article 29 fait savoir que, prochainement, il fournira prochainement des informations aux contrôleurs des données sur leurs obligations dans le cadre du Privacy Shield, qu'il fera des commentaires sur le guide à l'attention des citoyens que la Commission européenne doit finaliser, et qu'il émettra des suggestions sur la composition du Corps centralisé européen pour le traitement des plaintes et sur l'organisation pratique de l'évaluation conjointe.