La Commission européenne a adopté la décision officielle validant le privacy shield UE-USA
Publié le 19/07/2016 par Etienne Wery
Cela faisait des mois que les entreprises attendaient ce moment : la Commission a officiellement adopté une décision par laquelle elle reconnaît que le système connu sous le nom de « privacy shield », contient suffisamment de garanties offertes par les États-Unis, et qu’en conséquence ce nouveau système présente un niveau de protection adéquat. Les transferts de données personnelles vers les USA vont donc pouvoir se poursuivre avec plus de sécurité.
Background
Selon la directive applicable, il est interdit de transférer des données à caractère personnel de l’Union européenne vers des pays tiers si le pays de destination n’assure pas un niveau de protection adéquat à ces données. Les pays qui bénéficient de ce label se comptent sur les doigts des deux mains.
Pour lever cette interdiction, deux systèmes sont prévus : les BCR (binding corporate rules – sorte de code de bonne conduite interne à une entreprise ou un groupe d’entreprises) et les clauses types (engagement contractuel entre celui qui envoie des données et celui qui les reçoit).
Un troisième système a été prévu pour lever cette interdiction, spécifiquement en ce qui concerne les flux transatlantiques entre l’Union européenne et les USA : les safe harbor.
La justice européenne a invalidé les safe harbor.
En raison de l’importance des flux transatlantiques, la commission européenne et le gouvernement américain ont négocié très activement le remplacement du système annulé par un nouveau cadre juridique (le privacy shield).
La décision de la Commission européenne validant les privacy shield prend le relais du défunt safe harbor.
Le privacy shield – côté face
Dans la communication qui accompagne l’adoption de sa décision, la Commission européenne vante le système, insistant sur les nombreuses garanties offertes par les États-Unis:
· des obligations strictes pour les entreprises qui traitent des données: dans le cadre du nouveau dispositif, le ministère américain du commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller à ce qu’elles observent les règles auxquelles elles ont souscrit. Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s’exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif. Grâce au durcissement des conditions applicables au transfert ultérieur de données à des tiers, le même niveau de protection sera assuré en cas de transfert de ce type par une entreprise participante;
· un accès des pouvoirs publics américains soumis à des conditions claires et à des obligations de transparence: les États-Unis ont donné à l’Union européenne l’assurance que l’accès des pouvoirs publics aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. De même, tous les citoyens de l’Union bénéficieront pour la première fois de mécanismes de recours dans ce domaine. Les États-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données UE-États-Unis. Le cabinet du directeur du renseignement national a également précisé que le recours à la collecte de données en vrac serait soumis à certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise que possible. Il a détaillé les garanties mises en place pour l’utilisation de données dans de telles circonstances exceptionnelles. Le secrétaire d’État américain a instauré une possibilité de recours pour les Européens dans le domaine du renseignement national en créant un mécanisme de médiation au sein du département d’État;
· une protection effective des droits individuels: tout citoyen estimant que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du bouclier de protection des données bénéficiera de plusieurs mécanismes accessibles et abordables de règlement des litiges. Idéalement, l’entreprise elle-même donnera suite à la plainte ou des solutions gratuites de règlement extrajudiciaire des litiges seront proposées. L’intéressé pourra également s’adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l’Union soient examinées et réglées. Lorsqu’un litige n’aura pas été réglé par l’un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort. La possibilité d’un recours dans le domaine de la sécurité nationale ouvert aux citoyens de l’UE passera par un médiateur indépendant des services de renseignement des États-Unis;
· un mécanisme de réexamen annuel conjoint: ce mécanisme permettra de contrôler le fonctionnement du bouclier de protection des données, et notamment le respect des engagements et des assurances concernant l’accès aux données à des fins d’ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels y associeront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. La Commission s’appuiera sur toutes les autres sources d’information disponibles et adressera un rapport public au Parlement européen et au Conseil.
Depuis la présentation du projet de bouclier de protection des données en février, la Commission dit avoir tenu compte de l’avis des autorités européennes de protection des données (le groupe de travail «article 29»), du point de vue du Contrôleur européen de la protection des données et de la résolution du Parlement européen pour y apporter un certain nombre de clarifications et d’améliorations. La Commission européenne et les États-Unis se sont notamment mis d’accord sur de nouvelles précisions concernant la collecte de données en vrac, sur le renforcement du mécanisme de médiation et sur des obligations plus explicites pour les entreprises en ce qui concerne les limites applicables à la conservation et au transfert ultérieur des données.
Le privacy shield – côté pile
A peine l’accord a-t-il été finalisé, et avant même que la Commission européenne ne le valide en adoptant sa décision officielle, le privacy shield a été vertement critiqué.
Selon ses détracteurs, par rapport au système précédent invalidé par la justice, les améliorations ne sont que de façade. Du simple vernis. Ils annoncent un recours devant la Cour de justice afin de faire invalider la décision qui vient d’être adoptée.
Derrière les critiques, c’est chaque fois la même idée. Ce qui dérange, ce sont les innombrables possibilités dont les autorités américaines disposent pour accéder aux données. Derrière les justifications que l’on peut parfaitement comprendre (par exemple la lutte contre le terrorisme selon des procédures claires et encadrées), il y aurait une réalité, sur le terrain et juridiquement, qui fait que toute personne disposant d’un uniforme ou d’une carte officielle d’une agence gouvernementale, peut obtenir à peu près ce qu’elle veut en matière de données.
Or, c’est exactement cette idée qui transparaît de l’arrêt de la cour de justice ayant invalidé le système précédent. Dans l’arrêt de la cour, on perçoit non seulement une critique du système mis en place par la directive mais aussi (surtout ?) du droit américain applicable qui n’offre vraiment aucune protection efficace aux citoyens européens dont les données ont été transférées.
Dans un attendu, elle estime en effet qu’une règlementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé ; et aussi qu’une règlementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l’existence d’un État de droit.
Si les nouvelles garanties offertes par le privacy shield ne haussent pas sensiblement le niveau de protection, il y a en effet un risque réel d’une nouvelle invalidation.
Prochaines étapes
La décision constatant le caractère adéquat du niveau de protection sera notifiée aux États membres et entrera en vigueur immédiatement.
Aux États-Unis, les textes relatifs au bouclier de protection des données seront publiés au Federal Register, l’équivalent de notre Journal officiel. Le ministère américain du commerce mettra le bouclier de protection des données en service. Dès que les entreprises auront eu l’occasion d’examiner le cadre et de se mettre en conformité, elles pourront obtenir une certification auprès du ministère du commerce à partir du 1er août. Parallèlement, la Commission publiera un guide succinct à l’intention des citoyens, leur expliquant les possibilités de recours au cas où ils estimeraient que des données à caractère personnel les concernant ont été utilisées sans qu’il soit tenu compte des règles en matière de protection des données.
Plus d’infos ?
En prenant connaissance de la décision officielle et de son annexe (disponible sur notre site).