Transfert de données personnelles : nouvel accord entre les USA et l’union européenne

Les renseignements vous concernant, et données, sont utilisés par les entreprises comme valeur marchande et marketing ; or votre droit de consommateur est d’être protégé contre leur utilisation abusive.

C’est en ce sens que la Cour de justice de l’Union Européenne a invalidé le Safe Harbor le 6 octobre 2015, un accord de transfert de données conclu entre les Etats-Unis et l’Union Européenne (voir nos articles sur le Safe Harbor pour plus d’informations). Son remplaçant, le Privacy Shield - bouclier vie privée - a quant à lui été définitivement adopté le 12 juillet par la Commission Européenne.

Les Etats-Unis sont donc désormais reconnus comme assurant un niveau de protection "essentiellement équivalent" aux normes européennes.

Transfert de données personnelles hors de l’U.E.

La loi informatique et libertés de 1978 a posé une interdiction de principe du transfert de données à caractère personnel hors de l’Union européenne (article 68).

Néanmoins, elle a aménagé quelques exceptions en son article 69 permettant aux pays dit adéquats de bénéficier de ce transfert de données.
Ces pays sont ceux qui sont considérés comme garantissant un niveau de protection suffisant grâce à leur législation nationale en matière de données personnelles (par exemple : le Canada, la Suisse, l’Argentine).
Une exception à cette interdiction peut également être aménagée par le biais de clauses contractuelles types adoptées par la Commission européenne et signées entre l’entité importatrice et l’entité exportatrice des données personnelles ainsi que par l’adoption de règles internes d’entreprises (BCR) constituant un code de conduite pour le transfert de données hors de l’Union Européenne.
La troisième exception concerne le régime spécifique mis en place par les Etats-Unis et l’Union Européenne grâce à la signature du Privacy Shield.

Présentation du Privacy Shield

L’adhésion à ce dispositif s’est ouverte aux entreprises le 1er aout 2016. Il s’agit d’un instrument juridique instaurant un système d’auto certification via lequel des entreprises américaines, souhaitant collecter des données appartenant à des citoyens européens, s’engagent à respecter les principes imposés par cet accord. Un tel dispositif ne devrait pas les dépayser et comblera l’incertitude et vide juridique laissé aux yeux des entreprises, par l’invalidation du système précédent le 6 octobre dernier.

Nouveaux principes pour les transferts transatlantiques

En premier lieu, des obligations seront régulièrement mises à jour et revues par le ministère américain du commerce et leur violation donnera lieu à des sanctions ainsi qu’à un retrait de la liste d’adhésion.
À cet effet, la collecte de données à caractère personnel sera limitée car elle devra répondre à des besoins précis de l’entreprise américaine réalisant le transfert transatlantique. Le consentement préalable des citoyens européens sera en outre exigé lorsque des données sensibles seront en jeu.
Les droits individuels seront protégés grâce à la mise en place de mécanismes de résolution de conflits à prix supposé abordable pour tout citoyen souhaitant contester l’utilisation de ses données personnelles.
Dans cette hypothèse :
 Soit l’entreprise règlera elle-même le conflit
 Soit une solution alternative de résolution sera offerte au citoyen.
Les autorités de protection de données des états membres (telle que la Commission Nationale de l’Informatique et des Libertés en France) sont également compétentes pour s’occuper de telles plaintes.

En dernier recours, un mécanisme d’arbitrage est mis en place.
En outre, un médiateur venant des agences de renseignements américaines pourra régler tout différend lié à la sécurité nationale. En ce sens, le gouvernement américain a assuré qu’il fournirait des garanties claires et des obligations transparentes concernant l’accès à ces données par les autorités étatiques. La collection de masse de ces données ne sera autorisée que sous des conditions spécifiques justifiées par la sécurité nationale et l’intérêt public. Le directeur du renseignement américain rappelle à cet effet que les services américains utilisent des filtres pour collecter au mieux des données pertinentes et que les informations obtenues sont communiquées à leur homologues européens afin de les aider à protéger leurs propres citoyens.
Enfin, les Etats Unis et l’Union Européenne mettront en place un mécanisme annuel d’évaluation concernant l’accès aux données personnelles par les autorités nationales. Un rapport public sera ensuite publié par la Commission Européenne.
Néanmoins on note que plusieurs pays européens (Autriche, Bulgarie, Croatie, Slovénie) ont préféré s’abstenir de ce vote, montrant ainsi que ce nouvel accord avec les Etats-Unis ne fait pas l’unanimité.

Cet accord de transfert de données personnelles outre-Atlantique présente de nombreux enjeux au regard de la protection qu’il accorde aux citoyens européens et les entreprises américaines devront se montrer précautionneuses pour ne pas se voir retirer de la liste d’adhésion. En tant qu’avocats et citoyens, nous sommes attentifs à son application prochaine et serons vigilants à tout différend en résultant.

NB : Titre et intertitres sont de la rédaction.
https://www.privacyshield.gov/welcome