English (Anglais)Deutsch (Allemand)
Français
Google+
LinkedIn
YouTube
Contact
CIL-BY-TNP2

(co-écrit avec Rim Ferhah)

Le 6 octobre 2015, la Cour de Justice de l’Union européenne (CJUE) a invalidé l’accord Safe Harbor. Les autorités de protection des données des états membres ont alors laissé jusqu’au 01/02/2016 aux entreprises qui jusque là transféraient des données à caractère personnel depuis l’UE vers les Etats Unis, pour se mettre en conformité en utilisant d’autres instruments juridiques.

Ce laps de temps devait permettre aux autorités européenne et américaine de s’entendre sur un nouvel accord qui ne soit pas contraire aux droits et libertés fondamentaux des citoyens européens.

Le 2 février 2016, la Commission européenne et les Etats-Unis se sont accordés sur un nouveau cadre juridique concernant le transfert des données à caractère personnel entre l’Union européenne et les États-Unis, le « EU-US Privacy Shield » dont voici les principaux points:

 

Des obligations plus strictes pour les entreprises américaines

  • Le ministère du commerce va imposer aux entreprises américaines de diffuser leurs engagements, ce qui les rendra exécutoires par la FTC en vertu de la loi américaine.
  • Les sociétés qui traitent des données RH devront s’engager à se conformer aux décisions prises par les régulateurs européens.

Des obligations pour le gouvernement américain de présenter des garanties et de faire preuve de transparence quant à l’accès aux données des citoyens européens

  • Engagement par écrit du gouvernement américain à ce que l’accès des autorités publiques chargées de l’application de la loi et de la sécurité nationale soit limité, qu’il présente des garanties et qu’il soit soumis à des mécanismes de contrôle.
  • Cet accès exceptionnel devra être nécessaire et présenter un caractère de proportionnalité.
  • Cessation de toute surveillance indiscriminée et de masse.
  • Mise en place d’un contrôle annuelle de l’application de l’accord par la commission européenne et le ministère du commerce, avec la participation d’experts du renseignement américain et des régulateurs européens.

Diverses possibilités d’obtenir réparation pour les citoyens européens

  • Les entreprises auront un délai pour répondre aux réclamations des personnes.
  • Les régulateurs européens pourront adresser les plaintes des citoyens européens au ministère du commerce et à la FTC (Commission Fédérale du Commerce)
  • Les modes alternatifs de résolution des conflits seront gratuits.
  • Création d’un médiateur pour les plaintes relatives à la surveillance par les agences de renseignements américaines.

Comme le Safe Harbor, le Privacy Shield est basé sur un principe d’auto-certification par lequel les entreprises adhérentes déclareront se conformer aux règles de protection des données. Le département du commerce US a déclaré que la législation américaine concernant la surveillance n’aurait pas à être modifiée.

Ces « lettres d’engagement » ne comprennent aucune disposition contraignante ni pour la Commission européenne et pour les Etats-Unis.

Le G29 qui n’a pas participé aux négociations de cet accord, a déclaré le 3 février par l’intermédiaire de sa présidente, I.Falque Pierrotin, que le Privacy Shield changeait la donne. Ce nouvel accord devra être attentivement analysé afin de vérifier que les garanties de protection soient remplies et tout particulièrement sur deux points critiques:

  • la portée du cadre légal de surveillance par les services d’intelligence américains,
  • et les voies de recours offertes aux citoyens européens.

Deux points sur lesquels, jusqu’à l’annonce du Privacy Shield,  il semblerait que le G29 s’apprêtait à émettre un avis selon lequel les autres instruments juridiques ne garantissaient pas un niveau de protection suffisant.

Mais avec ce nouvel accord de dernière minute, les autorités de protection des données ont finalement déclaré que jusqu’à la fin du mois de mars, les entreprises pourraient continuer à transférer les données à caractère personnel vers les USA sur la base de règles internes de groupe (BCR), de Clauses contractuelles standards ou de clauses contractuelles préalablement autorisées par la CNIL.

Les transferts sur la base du Safe Harbor demeurent quant à eux définitivement interdits.

Sans aucun doute, ce nouvel accord fera l’objet de recours devant la CJUE.

Article précédent Directive NIS sur la cybersécurité : les obligations en matière de sécurité incombant aux « opérateurs fournissant des services essentiels » et aux « fournisseurs de services numériques » Article suivant De la valorisation des données à l’amélioration de l’expérience client : les nouveaux enjeux de la création de valeur au sein des banques

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

X