LES FAITS : Depuis la décision de la Cour de Justice de l’Union européenne du 6 octobre 2015, il n’est plus possible de réaliser des transferts de données aux États-Unis sur la base du Safe Harbor. Après trois mois de négociations, un nouveau texte intitulé EU-US Privacy Shield supposé remplacer et améliorer le Safe Harbor vient d’être présenté et publié par la Commission européenne.

PUBLICATION DE L’ACCORD PRIVACY SHIELD

Le 29 février 2016, la Commission européenne a présenté les documents qui instaureront le bouclier de protection des données UE – États-Unis (ou EU-US Privacy Shield). Ce paquet comprend des principes de protection des données auxquels les entreprises doivent adhérer, ainsi qu’une série d’engagements écrits du gouvernement des États-Unis concernant la mise en oeuvre du dispositif, y compris des assurances sur les garanties et les conditions d’accès des pouvoirs publics aux données. Principalement, cet accord prévoit tout d’abord que les entreprises seront soumises à des obligations fermes et à des mécanismes de surveillance permettant d’assurer qu’elles respectent leurs obligations et le cas échéant, des possibilités de sanctions. Ensuite, l’accès par les autorités américaines sera étroitement encadré et transparent. Il est également prévu une protection effective des droits des citoyens de l’Union avec plusieurs voies de recours et un mécanisme de règlement extrajudiciaire des litiges sans frais. Enfin, la mise en place d’une procédure de révision annuelle conjointe permettra de contrôler le bon fonctionnement du dispositif et notamment le respect des engagements et des assurances concernant l’accès aux données à des fins d’ordre public et de sécurité nationale. Si ce texte est salué par certains commissaires européens qui le considèrent plus solide et plus protecteur des droits des citoyens européens que le Safe Harbor, d’autres lui reprochent d’être un accord purement politique et insuffisant. Les critiques portent notamment sur l’intervention exclusivement a posteriori du nouveau régime, à savoir que les données des citoyens européens ne pourront être exclues des données auxquelles les services de renseignement auront accès. Seule pourra être contestée l’utilisation illégale de leurs données, sous réserve de la démontrer.

PROCÉDURE D’ADOPTION DU PRIVACY SHIELD

La publication de cet accord est la première étape de la reconstruction d’un droit de la protection des données à caractère personnel. Encore faut-il que les garanties apportées par ce texte soient jugées suffisantes au regard de l’exigence européenne d’un niveau de protection adéquat et notamment évaluer les engagements américains. À cet égard, Il est prévu que le G29 rende un avis définitif sur le niveau de protection offert par ce texte lors de sa séance plénière des 12 et 13 avril 2016. Ensuite, la Commission devra présenter un projet de décision d’adéquation, constatant que les engagements américains assurent aux citoyens européens un niveau adéquat de protection. Ce projet sera ensuite transmis au comité article 31, comprenant des représentants des États membres avant une décision finale du collège des commissaires, conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.

 

CE QU’IL FAUT RETENIR :
La publication de l’accord Privacy Shield est une première étape vers l’adoption d’un nouveau bouclier de protection encadrant les transferts de données transatlantiques. Dans l’attente du texte définitif, rappelons que les transferts peuvent toujours être effectués dans le cadre des clauses contractuelles types ou des Binding Corporate Rules.