Évolution du « Safe Harbor » vers le l’ »UE-US Privacy Shield » 

Le cadre était attendu depuis l’annulation du Safe Harbor par la Cour de justice de l’UE (CJUE) dans son arrêt du 6 octobre 2015, qui avait créé un vide juridique important en matière de transfert des données (voir notre article).

La Commission européenne et le groupe des CNIL européennes (G29) avaient, d’ailleurs, apporté une première réponse aux inquiétudes des entreprises confirmant que les clauses contractuelles types et les Binding Corporate Rules (BCR) restaient les solutions à privilégier pour assurer la conformité des transferts en cours, durant cette période de transition (voir notre brève).

Ce « bouclier de la confidentialité », présenté le 29 février dernier, aurait donc vocation à protéger les droits fondamentaux des Européens en cas de transfert des données aux États-Unis et à fournir des garanties aux entreprises qui font des affaires transatlantiques.

De nouvelles obligations pour les entreprises américaines
« La collaboration des deux partenaires de part et d’autre de l’Atlantique vise à ce que les données individuelles soient parfaitement protégées, sans renoncer pour autant aux possibilités qu’offre l’ère numérique », a déclaré Andrus Ansip, vice-président de la Commission européenne lors de la présentation publique du Privacy Shield. Et cette protection des données personnelles passerait d’abord par un encadrement des politiques des entreprises américaines en la matière. C‘est en tout cas le souhait de la Commission. Le projet de « bouclier » prévoit que les entreprises américaines souhaitant importer des données personnelles provenant d’Europe devront s’engager, dans un code de bonne conduite, à respecter des conditions strictes quant à leurs traitements.

Le dispositif actuel du Privacy Shield prévoit aussi des mécanismes de surveillance afin de garantir le respect de ces obligations par les entreprises. Ces dernières seraient ainsi obligés de rendre public leurs engagements en la matière, qui restent pour le moment à définir, sous peine d’être sanctionnées par la Federal trade commission.

En cas de non-respect de ces engagements les citoyens européens pourraient déposer plainte contre les agissements des entreprises. Elles auront alors 45 jours maximum pour y répondre. Cependant, aucune sanction n’est prévue à ce jour si les délais sont dépassés. Pour que leurs plaintes soient traitées, les citoyens européens pourraient également s’adresser à leur CNIL nationale qui collaborera avec la Federal trade commission. L’instance américaine devra apporter une réponse dans les 90 jours. Enfin pour les cas non résolus, l’accord américano-européen prévoit le recours, en dernier ressort, à un tribunal d’arbitrage devant lequel les entreprises pourront être convoquées. La Commission précise que ce mécanisme de règlement extrajudiciaire des litiges sera accessible sans frais.

La surveillance des services de renseignements plus encadrée
Outre ces mécanismes de surveillance concernant les entreprises, l’exécutif européen a affirmé avoir obtenu de la part des américains un strict encadrement de l’accès des autorités publiques aux données personnelles. « Pour la première fois, le gouvernement américain, par l’intermédiaire des services du directeur du renseignement national, a donné par écrit à l’UE l’assurance que tout accès des pouvoirs publics aux données à des fin de sécurité nationale sera subordonné à des limitations, des conditions et des mécanismes de supervision bien définis, empêchant un accès généralisé aux données personnelles », s’est félicité Bruxelles dans un communiqué. Selon cet engagement pris par les américains, les citoyens européens disposeront d’un recours dans le domaine du renseignement national grâce à un mécanisme de médiation indépendant des services de sécurité nationaux. A ce jour, aucune précision n’a été donné sur les conditions de nomination de ce médiateur ni aucune garantie concrète concernant son indépendance, ce que regrettent les détracteurs de ce texte.

Pour que les limitations de l’accès des pouvoirs publics soient respectés, le Privacy Shield prévoit un mécanisme de réexamen commun aux deux continents. En effet, la Commission européenne et la Federal trade commission, associés à des experts nationaux, pourraient contrôler chaque année le respect des engagements en s’appuyant sur toutes sources d’informations disponibles comme les rapports annuels de transparence des entreprises et ceux d’ONG spécialistes du respect de la vie privée. Côté européen, la Commission adressera un rapport public au Parlement européen et au Conseil, à la suite de ce réexamen.

Ce nouveau cadre international de protection des données doit encore être adopté par le collège des commissaires européens, après l’avis des autorités européennes chargées de la protection des données. En parallèle, les États-Unis vont devoir mettre en place ce nouvel instrument ainsi que les mécanismes de contrôle et de médiation. De nombreuses modifications ont encore le temps d’être apportées, surtout dans le contexte international des élections présidentielles américaines… [Lire la suite]

Réagissez à cet article