L'accord Privacy shield, traduit le bouclier de protection des données, est un accord entre l’Union européenne et les
États-Unis dont le but est de permettre aux entreprises de
transmettre et de transférer aux États-Unis des données concernant
des citoyens européens.
Pour
rappel, en matière de protection des données à caractère
personnel, le droit européen impose que le transfert des données à
caractère personnel hors Union européenne n'est possible que si le pays assure un niveau de protection
suffisant à l’égard de ce transfert1.
Ainsi, les entreprises sont seulement autorisées à transférer des
données personnelles à un pays qui garantit un niveau de protection
des données adéquat.
Le Privacy Shield est
supposé fournir les règles juridiques du cadre garantissant la
protection nécessaire et suffisante des données.
L'objectif premier de cet accord est de contribuer à restaurer la confiance dans les flux de données transatlantiques. En effet, cette confiance a été entachée suite aux révélations Snowden et définitivement remise en cause avec la décision du 6 octobre 20152 de la cour de justice de l'union européenne (CJUE) invalidant l'accord Safe Harbor, le premier accord qui constatait en 2002 que les États-Unis assuraient un niveau de protection adéquat aux données à caractère personnel transférées. Cette décision intervient, suite à un renvoi préjudiciel d'une juridiction irlandaise, au sujet de la requête d'un citoyen autrichien. Maximillian Schrems considérait que, les données transférées, en tout ou partie, à partir de la filiale irlandaise de Facebook sur des serveurs situés sur le territoire des États-Unis, où elles faisaient l’objet d’un traitement, ne respectaient pas la législation européenne sur la protection des données à caractère personnel.
La
CJUE a notamment estimé qu’une « règlementation
permettant aux autorités publiques d’accéder de manière
généralisée au contenu de communications électroniques doit être
considérée comme portant atteinte au contenu essentiel du droit
fondamental au respect de la vie privée tel que garanti par
l’article 7 de la Charte ».
Par
cette décision,
la CJUE exige donc indirectement une renégociation avec les
Etats-Unis pour qu'ils assurent, de par leur législation interne ou leurs engagements internationaux, un
niveau de protection adéquat.
Ainsi, prévenir une
utilisation massive et arbitraire des informations à caractère
personnel devient la priorité du nouveau projet Privacy Shield. Ce dernier présente les
garanties suivantes :
1. la soumission des entreprises à certaines
obligations, assorties de sanctions le cas échéant, notamment
la déclaration de la totalité de la chaîne de sous-traitants. Ces
obligations font écho aux futures obligations prévues dans le futur
règlement européen sur la protection des données personnelles.
2. l'encadrement de l'accès,
par les autorités américaines, aux données à des
fins de sécurité nationale grâce à des conditions et des
mécanismes de supervision bien définis, empêchant un accès
généralisé aux données personnelles. Les Etats Unis se sont engagés à établir une possibilité
de recours pour les citoyens de l’UE dans le domaine spécifique du
renseignement national, par la présence d'un mécanisme de médiation qui sera
indépendant des services de sécurité nationaux incarné par la personne d'un médiateur.
3. de multiples possibilités de recours pour les citoyens : les consommateurs pourront
interroger les entreprises sur la gestion de leurs données, sans
réponse ou en cas de réponse non satisfaisante de l'entreprise
sous 45 jours, ils pourront enclencher un mécanisme de
règlement extrajudiciaire des litiges sans frais. De plus, les
citoyens de l’UE pourront également s'adresser à leur autorité
nationale chargée de la protection des données, qui collaborera
avec la Commission fédérale du commerce.
4. un mécanisme
de réexamen annuel conjoint prévu entre la
Commission européenne et le ministère américain du commerce afin
d'évaluer le fonctionnement de la réglementation, qui s’appuiera
sur toutes les autres sources d’information disponibles, y compris
les rapports de transparence publiés par les entreprises. Sur la
base du réexamen annuel, la Commission adressera un rapport public
au Parlement européen et au Conseil.
Ce réexamen annuel
démontre que les parties s'attachent à la fois aux principes
énoncées mais également à leur application dans la durée soit la
raison d'être de toute réglementation.
Le
projet suscite les critiques de certaines associations
citoyennes qui craignent que le Privacy Shield ne
protègent pas suffisamment les droits fondamentaux des Européens au
regard des exigences communautaires des données personnelles.
De façon plus générale,
il est intéressant de voir que les transferts des données entre pays entraînent de plus en plus de conflits de lois. D'une part,
les échanges d'information extra territoriaux deviennent
indispensables notamment pour l'entraide judiciaire, et, d'autre
part, les pays adoptent des lois contraignantes en matière de
localisation et de conservation des données.
Le projet est quasiment finalisé même s'il doit encore passer sous les fourches caudines des différentes CNIL
européennes qui doivent encore publier une opinion, non contraignante, sur le
projet d’accord le 13 avril.
En principe et selon
Günther Oettinger, commissaire en charge des sociétés
numériques, l’accord devrait entrer en vigueur en juin.
Ce temps des négociations et du processus législatif
européen de discussion a fait apparaître un vide juridique. Toutefois, en attendant, les sociétés peuvent toujours
exploiter d’autres mécanismes encadrant les transferts de données tels les clauses contractuelles types et les codes de conduite
interne d’entreprise, Binding Corporate Rules3.
Le Sénat américain a
aussi validé, récemment, le Judicial Redress Act, loi
sur le recours juridictionnel, une loi autorisant les
Européens qui contestent l’exploitation de leurs données
outre-Atlantique à saisir la justice américaine4.
Notes de bas-page
1 Directive
95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995,
relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre
circulation de ces données(JO L281, p.31) transposé
à l'article 68 de la loi n°78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés.
Aucun commentaire:
Enregistrer un commentaire