[Article] La protection des données transatlantiques : du Safe Harbor au Privacy Shield

Image non disponible
Facebooktwittergoogle_plus

Par Morgan Donnette

 

Le bouclier de protection des données transatlantiques, également appelé EU-U.S. Privacy Shield, vient remplacer l’ancien Safe Harbour. Le Safe Harbour – encore appelé « the international Safe Harbor Privacy Principles » ou encore « Safe Harbour Privacy Principles » – permettait à une entreprise américaine de certifier qu’elle respectait la législation de l’Espace économique européen, dans le but d’obtenir l’autorisation de transférer des données personnelles de cet espace vers les États-Unis.

 

En effet, le 6 octobre 2015[1], la Cour de justice de l’Union européenne invalide l’accord Safe Harbor[2]. La Cour a considéré que les États-Unis n’offraient pas un niveau de protection adéquat aux données personnelles transférées, les États membres devant pouvoir vérifier si les transferts de données personnelles entre l’état membre et les États-Unis respectent les exigences de la directive européenne sur la protection des données personnelles[3].

 

La Commission européenne a donc adopté un nouveau système de protection pour remplacer celui précédemment déclaré invalide par la Cour de Justice de L’Union Européenne :  le bouclier de protection des données transatlantiques ou Privacy Shield.

 

Le bouclier de protection des données UE-EU a pour mission d’assurer la protection des droits fondamentaux des citoyens de l’Union européenne dont les données à caractère personnel sont transférées vers le continent américain.

 

Au vue de cette définition, il convient de se demander quelle est la différence entre l’EU-U.S. Privacy Shield et l’ancien Safe Harbour. La Commission a répondu à cette question dans un communiqué de presse du 8 juillet 2016[4] que le Privacy Shield est « fondamentalement différent du vieux ‘Safe Harbour’ : Il impose de claires et de fortes obligations sur les compagnies chargées de traiter les données et s’assure que les règles sont suivies et appliquées en pratiques ». Selon ce communiqué, ce n’est donc pas le fond qui change mais plus la mise en application.

 

Le bouclier de protection des données UE-États-Unis est fondé sur les quatre principes suivants considérés comme les 4 points cardinaux du Privacy Shield[5] :

 

Dans un premier temps ce nouveau texte crée des obligations strictes pour les entreprises qui traitent des données avec un réexamen régulier des entreprises participantes par le ministère américain du commerce pour vérifier que les entreprises s’acquittent bien de leurs obligations.

 

De plus, une plus grande clarté et des obligations de transparence plus strictes ont été mises en place vis-à-vis des pouvoirs publics américains. Cela s’est traduit notamment par une possibilité de recours insaturée par le secrétaire d’État pour les Européens dans le domaine du renseignement national en créant un mécanisme de médiation au sein du département d’État.

 

Troisième point cardinal, une protection effective des droits individuels en ce sens que tout citoyen estimant qu’il y a eu utilisation abusive de ses données, alors que ces dernières devaient être protégées par le bouclier, disposera dès lors de dispositifs de règlements des litiges. Dans ce cas, l’entreprise elle-même donnera suite à la plainte ou des solutions gratuites de règlement extrajudiciaire des litiges seront proposées. (Arbitrage médiation…)

 

Et enfin, le dernier point cardinal de ce Privacy Shield consiste en un mécanisme de réexamen annuel conjoint pour contrôler le fonctionnement du Privacy Shield : ce réexamen sera mené par la Commission européenne et le ministère américain du commerce.

 

Le bouclier de protection des données UE-États-Unis tient compte des exigences énoncées par la Cour de justice de l’Union européenne dans son arrêt du 6 octobre 2015. Il ne reste donc plus qu’à attendre pour pouvoir juger de l’application de cette nouvelle protection et de son effectivité.

 

Par Morgan Donnette, rédacteur et co-fondateur de Counselution

 

Suivez nous sur twitter @Counselution, sur Facebook, ou abonnez-vous à  notre newsletter pour rester à l’affût de nos futurs articles !

 

Crédit photo

 

[1]Arrêt de la Cour de justice de l’Union européenne (grande chambre) du 6 octobre 2015

http://curia.europa.eu/juris/document/document.jsf?docid=169195&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=FR&cid=816812

[2] Cour de justice de l’Union européenne COMMUNIQUE DE PRESSE n° 117/15

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf

[3] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:31995L0046

[4] Traduction libre du Communiqué du 8 July 2016 «It is fundamentally different from the old ‘Safe Harbour’: It imposes clear and strong obligations on companies handling the data and makes sure that these rules are followed and enforced in practice » http://europa.eu/rapid/press-release_STATEMENT-16-2443_en.htm

[5] Commission européenne – Communiqué de presse du 12 juillet 2016 http://europa.eu/rapid/press-release_IP-16-2461_fr.htm

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *