Les « nouvelles » règles du jeu du transfert de données transatlantique

La semaine prochaine, le G29 rendra son avis sur le texte de l’accord Privacy Shield de la Commission Européenne. Cet avis sera finalisé lors de la prochaine réunion plénière des 12 et 13 Avril 2016. Cet évènement marquera le début de l’examen du texte de l’arrangement par les Etats membres, dans le cadre de la procédure dite de comitologie (l’exécutif de la Commission Européenne). Un petit tour d’horizon des principales mesures prévues par ce texte nous semblait donc nécessaire…

Annoncé avec grand bruit puis validé après moult péripéties, ce texte n’a pourtant pas grand-chose de neuf. En effet, dès 2013, les révélations sur la surveillance de masse aux Etats-Unis avaient provoqué une réaction de l’Union Européenne : en novembre 2013, la Commission publie un texte intitulé « Rétablir la confiance dans les flux de données entre l’Union Européenne et les Etats-Unis d’Amérique ». Les mesures clés envisagées étaient déjà :

  • L’adoption rapide des réformes initiées par le projet de Règlement Européen (celui-là même que nous attendons pour le second semestre de cette année) ;
  • Rendre le Safe Harbor plus contraignant sur la base des 13 recommandations préconisées par la Commission dans son document « Communication sur la sphère de sécurité » ;
  • Renforcer les garanties offertes aux résidents européens avec la signature de l’accord cadre prévoyant l’élargissement des droits inscrits dans le Privacy Act de 1974, afin de permettre aux ressortissants européens de faire valoir leurs droits aux Etats-Unis.

Les discussions sur la base de ces mesures clés ont été entamées avec les Etats-Unis dès le mois de janvier 2014 et l’accord-cadre a été paraphé par les USA et l’UE le 15 septembre 2015. Dès lors, rien d’étonnant à ce que la Cour de Justice ait décidé, le 6 octobre 2015, d’invalider le régime du Safe Harbor et de ne plus considérer les USA comme un pays disposant d’un niveau de protection adéquat.

En effet, cette décision de la Cour de Justice se basait précisément sur les 13 recommandations de la Commission, et notamment sur :

  • L’indispensable transparence des entreprises adhérentes au régime de protection du Safe Harbor concernant leur politique de protection des données personnelles
  • Un contrôle, un suivi et une mise en œuvre nécessaires par les autorités américaines de l’adhésion des entreprises au régime du Safe Harbor (qui, rappelons-le, s’effectue sur la base d’une auto-certification par les entreprises)
  • Un mécanisme de règlement des litiges facilement accessible pour les particuliers
  • L’adoption du principe de la stricte nécessité et de la proportionnalité des données dans le cadre de la surveillance par les USA pour des raisons de sécurité nationale.

La Commission en rêvait et c’est effectivement ce qui a été entériné le 29 février 2016 ! Bien que les entreprises américaines continueront de s’auto-certifier dans le cadre du nouveau régime nommé « Privacy Shield », les mécanismes de sanction semblent plus efficaces contre les « faux adhérents » : les engagements des entreprises sont juridiquement contraignants et exécutoires en vertu de la loi américaine par la Federal Trade Commission ; les entreprises ne s’y conformant pas s’exposeront à des sanctions sévères.

Quelles sont exactement ces nouvelles obligations pour les entreprises américaines ? Pour l’instant nous n’en connaissons que les grands principes, l’UE et les USA devant encore s’accorder sur les modalités pratiques. Il semble cependant que ces principes soient strictement identiques à ceux énoncés par le futur règlement européen, à savoir notamment la confidentialité et la sécurité des données, la proportionnalité des données à l’objectif poursuivi, les droits d’accès et de rectification des données pour les particuliers, et la nécessaire légitimité du traitement de données.

Afin d’accroître la confiance de leurs consommateurs, les entreprises sont également encouragées à désigner les autorités de protection des données de l’UE pour régler les plaintes dans le cadre du « Privacy Shield », car les citoyens européens sont davantage susceptibles de s’adresser à ces autorités. Parallèlement, le règlement européen prévoit dans son article 25 l’obligation pour toutes les entreprises américaines de plus de 250 salariés ou dont l’activité principale est le traitement de données personnelles ou qui traitent de données dites sensibles, et qui vendent des produits ou services régulièrement au sein de l’Union Européenne, de désigner un représentant dans l’Union Européenne chargé notamment d’effectuer le lien entre les autorités européennes compétentes, les consommateurs et l’entreprise.

Il est bien possible que la solution pour ces entreprises américaines pour parvenir à se conformer aux nouvelles exigences du Privacy Shield réside dans la désignation de ce représentant.

Retour