co-auteur : Karla Andrea CARRERA MARISCAL
Après les révélations sur les écoutes de la NSA en 2013, la Commission Européenne a lancé un appel et fait 13 recommandations [1] afin de rétablir la confiance dans les transferts de données entre l’UE et les États-Unis. Une confiance à nouveau mise à mal par la décision de la CJUE du 6 octobre 2015[2] qui a invalidé la décision d’adéquation de 2000 relative au Safe Harbor[3].
C’est dans ce contexte qu’un nouveau projet de décision d’adéquation des transferts de données vers les Etats Unis, connu sous le nom de Bouclier de protection des données UE-Etats-Unis ou EU-U.S. Privacy Shield[4], a été présenté le 29 février 2016 par la Commission Européenne.
Le projet Privacy Shield comprend un projet de décision d’adéquation et sept annexes où se trouvent détaillées les engagements pris par le gouvernement américain, ainsi qu’un FAQ.
L’objectif de ce projet est de garantir aux citoyens un niveau de protection équivalent aux normes européennes lorsque des informations les concernant seront transférées vers les Etats Unis et de permettre ainsi de rétablir la confiance dans les transferts de données transfrontaliers.
Voici donc ci-après les grandes lignes du Privacy Shield publié le 29 février 2016:
- Information des personnes concernées ;
- Les personnes peuvent choisir de s’opposer au traitement ultérieur de leurs données (opt-out),
- Intégrité des données et principe de finalité spécifique,
- Sécurité des données,
- Droit d’accès direct des personnes concernées,
- Encadrement contractuel des transferts de données,
- Mise en place de mécanismes assurant la conformité, la responsabilité et la gestion des plaintes.
-
Les entreprises qui adhérent[5] au Privacy Shield s’engagent à respecter les principes suivants :
-
Un mécanisme de responsabilité, de contrôle et de mesures coercitives
Le Privacy Shield prévoit la mise en place de mécanismes de surveillance afin de garantir le respect des obligations engagées. Les autorités compétentes pourront sanctionner les entreprises enfreignant les règles, voire prendre des mesures d’exclusion.
-
La possibilité d’engager un recours amiable
les européens auront la possibilité d’engager des recours aimables à l’encontre d’actions relevant de la sécurité nationale des Etats Unis. Un mécanisme de médiation assuré par un Ombudsman[6] indépendant, sera assuré au sein du Département d’Etat.
-
Autres possibilités de recours
les européens pourront s’adresser à leur autorité nationale de protection des données (la CNIL en France). Celle-ci collaborera avec la Commission Fédérale du Commerce américain afin d’examiner et de traiter les plaintes. Les plaintes déposées par les citoyens européens seront traitées dans un délai de 45 jours.
-
Le mécanisme de réexamen annuel
Afin de garantir le respect des engagements, un réexamen annuel sera mené par la Commission européenne, le Ministère du Commerce américain et des experts du renseignement.
Le délicat sujet du renseignement
Bien que le projet d’accord Privacy Shield soit présenté comme un mécanisme d’adéquation amélioré, la collecte et le traitement de données aux fins de renseignement, traité dans l’annexe VI sur le Presidential Policy Directive 28 (PPD-28), n’est pas entièrement résolu.
Le PPD-28 est supposé garantir la protection des données personnelles en cas d’activités de surveillance[7] autorisées par le Foreign Intelligence Surveillance Act (FISA -section 702). Bien que les cas dans lesquels il est possible de mener des activités de surveillance soient limités (détection d’activités de puissances étrangères ; lutte contre le terrorisme ; cyber-sécurité ; détection et lutte contre les menaces vis-à-vis des Etats-Unis ou des forces alliées et lutte contre les menaces criminelles transnationales[8]), le FISA autorise les opérations de surveillance par les autorités américaines.
On suivra donc avec attention le prochain avis du G29 qui devrait être publié avant la décision que doit rendre le Comité des commissaires européens sur l’adoption du Privacy Shield.
D’ici là, comme l’a rappelé la CNIL, tant qu’un accord n’est pas trouvé entre l’UE et les Etats-Unis, les Binding Corporate Rules (BCR) et les clauses contractuelles types (CCT) sont les mécanismes alternatifs de conformité qui peuvent encadrer les transferts de données hors UE[9].
[1] La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les États-Unis ; disponible in : http://europa.eu/rapid/press-release_IP-13-1166_fr.htm
[2] Décision n° C‑362/14 de la Cour de Justice de l’Union Européenne : http://curia.europa.eu/juris/document/document.jsf?docid=169195&doclang=FR
[3] Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» ou Safe Harbor http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32000D0520
[4] Site dédié de la Commission Européenne ; in : http://ec.europa.eu/justice/newsroom/data-protection/news/160229_en.htm
[5] Sur les principes du Privacy Shield, pages 4 et 5 : http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
[6] Annexe III : Ombudsman ; disponible in : http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-3_en.pdf
[7] https://www.fbi.gov/about-us/nsb/fbis-policies-and-procedures-presidential-policy-directive-28-1
[8] Page 4, § 3 de l’annexe VI, disponible in : http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision-annex-6_en.pdf
[9] Pour plus d’information sur les BCR et les CCT : https://www.cnil.fr/fr/le-safe-harbor
