Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Du Safe Harbor au Privacy Shield : y a-t-il de réels progrès ?

L’UE et les Etats-Unis se sont enfin accordés sur Privacy Shield, le nouveau régime de transfert de données à caractère personnel, sans pour autant mettre un terme au flou soulevé par l'ancien projet Safe Harbor.

Hier, Věra Jourová, commissaire européenne en charge de la Justice, a annoncé le feu vert donné par le Collège des Commissaires européens à l’accord politique, baptisé « EU/US Privacy Shield« , négocié avec les Etats-Unis afin d’encadrer les transferts de données à caractères personnel entre l’UE et les Etats-Unis. Attendu avec impatience, cet accord était rendu nécessaire afin de remplacer le  Safe Harbor, à savoir un mécanisme permettant le transfert de données vers pas moins de 4.000 entreprises y ayant adhéré aux Etats-Unis… Or ce mécanisme a été invalidé par l’arrêt Schrems rendu par la Cour de Justice de l’Union européenne (CJUE) le 6 octobre 2015. Après des mois de négociations intenses, la Commission européenne et les États-Unis sont enfin parvenus à un accord définissant le régime destiné à remplacer le Safe Harbor pour encadrer ce type de transferts. Voici ce qu’il faut retenir de ce nouveau « bouclier ».
Tout d’abord , l’accord définit des garanties écrites et détaillées apportées par les États-Unis afin d’assurer que l’accès aux données des citoyens européens par les autorités publiques à des fins de sécurité nationale sera limité et contrôlé. Ensuite, il y aura des engagements pris par les entreprises importatrices des données de respecter des obligations rigoureuses sur le traitement des données et le respect des droits des personnes concernées, sous la surveillance du Department of Commerce. Puis, plusieurs voies de recours pour les citoyens européens seront définies tant en Europe qu’aux États-Unis avec notamment une voie d’arbitrage possible en dernier recours. A côté de cela, une clause de révision annuelle sera instituée afin de surveiller de près que ce dispositif est correctement mis en place. Enfin, des sanctions, voire l’exclusion des entreprises importatrices de données du nouveau dispositif, pourraient être appliquées à l’encontre des entreprises se trouvant en violation de leurs obligations.
« Il a été précisé que ce dispositif a été négocié en tenant compte des exigences prévues par le Règlement européen dont la publication officielle devrait avoir lieu en avril 2016, devenant normalement obligatoire au printemps 2018 », remarque Annabelle Richard, avocate au cabinet Pinsent Masons. La Commission nationale Informatique et Libertés (Cnil) et ses homologues européens au sein du G29 se réunissaient hier et aujourd’hui afin de s’accorder sur les conséquences de l’arrêt Schrems sur les transferts de données entre l’Europe et les États-Unis. Lors de la session plénière qui se déroule aujourd’hui, Věra Jourová exposera au G29 les conséquences pratiques et juridiques de l’accord trouvé aujourd’hui avec les États-Unis. Un projet de « décision d’adéquation » sera rédigé dans les prochaines semaines par la commissaire européenne et le vice-président Andrus Ansip. Lequel devra ensuite être adopté par le Collège, après avis du G29. Pendant ce temps, les États-Unis sont tenus de prendre les actions nécessaires pour mettre en place rapidement ce nouveau dispositif.
« Cependant, il existe encore beaucoup de zones d’ombres », ajoute Anne-Sophie Mouren, avocate chez Pinsent Masons. Alors que les commissaires européens se félicitent d’avoir conclu un accord solide et autrement plus protecteur des droits des citoyens européens que le Safe Harbor, cet accord transatlantique est déjà fortement critiqué comme étant purement politique, voire insuffisant, à bien des niveaux pour garantir la protection des données des citoyens européens, au risque d’être à nouveau remis en cause par la CJUE. A ce jour, il reste encore beaucoup de zones d’ombres, notamment concernant l’éventuelle remise en cause par certaines autorités européennes des clauses contractuelles types pour le transfert de données vers les États-Unis. Le chemin promet donc d’être encore long avant que ce nouveau « bouclier » soit réellement exploitable ou moins critiquable.

Erick Haehnsen

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.