Le Privacy Shield

euuspuzzle

Le transfert des données à caractère personnel au sein de l’Union européenne est régi par la directive du 24 octobre 1995, dont l’objectif est d’assurer une protection satisfaisante des données et de permettre leur libre circulation à l’intérieur de l’Union.

En 2000, un accord dénommé le « Safe harbor » a été adopté afin de permettre les transferts de données entre l’Union européenne et les États-Unis dans des conditions satisfaisantes en termes de sécurité. Cet accord permettait de compenser l’insuffisance de la législation fédérale américaine en imposant le respect de sept principes dont notamment l’information, la sécurité, la qualité des données etc.

Suite aux révélations d’Edouard Snowden, cet accord a été jugé inefficace et a été invalidé par la Cour de justice de l’Union européenne lors d’un arrêt du 6 octobre 2015 (Max Schrems). Le 2 février 2016, la commission européenne et le gouvernement des États-Unis sont parvenus à un accord sur un nouveau cadre le « Privacy Shield » (bouclier de protection des données) pour les échanges transatlantiques de données à caractère personnel. Le 8 juillet, les représentants des États membres ont approuvé la version finale de cet accord, ouvrant la voie à l’adoption de la décision par la Commission le 12 juillet[1]. Concrètement, les entreprises européennes vont pouvoir à nouveau transférer des données personnelles vers les États-Unis, sans autorisation préalable de la CNIL et sans avoir besoin de recourir aux mécanismes tels que les Binding Corporate Rules ou Clauses Contractuelles Types.

I- Les fondements du pricacy shield

A- Des obligations strictes concernant le traitement des données

Reposant sur un système d’auto certification, le « Privacy Shield » impose aux entreprises participantes traitant des données à caractère personnel de respecter des obligations strictes et précises.

  • Droit d’information concernant le traitement des données personnelles (ex : type de données collecté, la finalité…)
  • En cas de présence de sous-traitants (re-transfert des données), les entreprises doivent s’assurer que les parties tierces assurent le même niveau de protection.
  • Les entreprises auront l’obligation de rendre publique leur politique de confidentialité
  • La collecte des données doit être limitée à ce qui est pertinent pour la finalité du traitement.
  • En cas de nouvelle utilisation des données de manière différente et non prévue au départ, les personnes visées bénéficient d’un droit d’opposition (opt out). De même, en cas d’utilisation des données personnelles pour de la publicité.
  • Concernant les « données sensibles », le consentement préalable sera exigé de façon libre, éclairé et non équivoque
  • Le citoyen européen aura un droit de consultation et de rectification de ses données personnelles.
  • La durée de stockage des données personnelles doit correspondre à la finalité du traitement pour laquelle elles ont été préalablement collectées (sauf exceptions en matière de journalisme, de recherche scientifique et historique etc…)

Le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises établies aux États-Unis et ayant adhéré au « Privacy Shield », afin de veiller au respect des engagements souscrits. A défaut, les entreprises s’exposeront à des sanctions et à une radiation de la liste des adhérents au dispositif.

B- Un encadrement de l’accès des données par les pouvoirs publics

Les États-Unis ont donné à l’Union européenne l’assurance que l’accès des autorités américaines aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis (ex : concernant la sécurité nationale six objectifs sont définis tels que l’espionnage, le terrorisme, les armes de destruction massive, les menaces sur la cybersécurité etc). Les États-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire. À défaut du respect de ces conditions, la commission européenne se réserve le droit de prendre des mesures de rétorsion, y compris l’interruption des transferts et la dénonciation de l’accord.

C- Une protection effective des droits individuels

Tout citoyen estimant que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du « Privacy Shield » aura à sa disposition plusieurs mécanismes afin de résoudre le litige.

  • procédure de plainte auprès de l’entreprise qui s’engage à apporter une réponse dans les 45 jours
  • Mécanismes extrajudiciaires gratuits (ex : médiation)
  • Intervention de l’autorité nationale de protection des données qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l’UE soient examinées et réglées 
  • Mécanisme d’arbitrage sera disponible, en dernier ressort
  • Recours au médiateur indépendant (« Privacy Shield Ombudsperson ») des services de renseignement des États-Unis.

Afin de mieux contrôler le fonctionnement du Privacy Shield, un réexamen annuel mené par la commission européenne et le ministère américain du Commerce permettra de s’assurer du respect des engagements concernant l’accès aux données.

II- Les critiques du Privacy Shield 

  • Auto-certification : Les entreprises américaines continuent de s’auto certifier et gèrent elles même leur conformité comme c’était le cas antérieurement avec le « Safe harbor ».
  • Impartialité : les entreprises ayant adhéré volontairement à cet accord sont placées sous le contrôle quasi exclusif de l’administration américaine (Département du commerce américain et Federal Trade Commission).
  • Les recours :
    -Mécanisme de médiateur (« Ombudsperson ») : cette saisine n’est pas directe et le citoyen européen devra d’abord s’adresser à l’autorité compétente de son territoire (ex: CNIL), qui passera ensuite le relais à un personne du département d’État américain. Ce médiateur est nommé par le secrétaire d’État des États-Unis et pourra simplement répondre à la personne plaignante qu’il a procédé aux vérifications, et pourra veiller à ce qu’une surveillance injustifiée cesse. Cependant, aucune institution ne sera habilitée à inspecter les logiciels et les serveurs en cause.
    -Arbitrage: Les individus ne peuvent pas réclamer des dommages et intérêts
  • l’effacement des données n’est pas expressément prévu après la fin du traitement et les garanties requises pour les traitements automatisés de données semblent se résumer à une simple évaluation d’impact
  • Les faibles engagements des États-Unis : les USA ont seulement donné l’assurance (via de simples lettres[2]) qu’ils ne procéderont pas à un espionnage massif des données et aucune modification substantielle de la loi aux États-Unis n’est requise par le « Privacy shield ». De plus, le bouclier de protection ne s’appliquera pas aux situations intéressant la « sécurité nationale » et « l’ordre public ». Ces notions floues permettent aux autorités américaines de garder une large marge de manœuvre. La collecte massive de données restera autorisée dans les cas où la collecte ciblée et individualisée s’avérera techniquement infaisable. Des filtres seront néanmoins utilisés pour éviter une collecte trop importante
  • Aucune clause de révision n’est inscrite au sein du « Privacy shield » afin d’adapter les règles au futur règlement sur les données personnelles
  • Manque de clarté de l’ensemble: la Commission n’a pas retenu le bien fondé d’un glossaire (ex : « personal data » etc.…)

Entrée en vigueur :

  • La décision constatant le niveau de protection adéquat du « Privacy shield » a été notifiée aux États membres de l’UE le 12 juillet 2016 et rentre en vigueur immédiatement
  • Le G29 (toutes les autorités de contrôle de l’UE en matière de données personnelles) doit rendre un avis sur l’ensemble du document le 25 juillet 2016
  • Les entreprises américaines pourront obtenir une certification auprès du ministère du Commerce à partir du 1er août 2016

[1] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf

[2] http://ec.europa.eu/justice/data-protection/files/factsheets/annexes_eu-us_privacy_shield_en.pdf

Pauline Berdah & Alexandre Mandil

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>