EU-US Privacy Shield : les premiers détails commencent à filtrer

Publié le 02/03/2016 par Etienne Wery , Thierry Léonard - 337 vues

La Commission européenne a présenté cette semaine les premiers documents juridiques qui instaureront le «bouclier de protection des données UE-États-Unis ». Ce privacy Shield est destiné à prendre le relais du défunt Safe Harbour invalidé par la justice européenne pour cause de protection insuffisante, et permettre de reprendre avec une sécurité juridique acceptable les flux de données personnelles entre l’Europe et les États-Unis.

La Commission européenne a présenté les documents juridiques qui instaureront le «bouclier de protection des données UE-États-Unis» («EU-U.S. Privacy Shield»).

Elle a aussi rendu public son projet de «décision sur le caractère adéquat du niveau de protection», ainsi que les textes qui composeront le « bouclier de protection des données UE-États-Unis ». Ce paquet comprend les principes auxquels les entreprises doivent adhérer, ainsi qu’une série d’engagements écrits du gouvernement des États-Unis concernant la mise en œuvre du dispositif, y compris des assurances sur les garanties et les conditions d’accès des pouvoirs publics aux données.

Les garanties prévues

Les garanties prévues sont les suivantes :

–                 Les entreprises seront soumises à des obligations fermes, assorties d’une mise à exécution rigoureuse: le nouveau dispositif sera transparent et prévoira des mécanismes de surveillance efficaces afin de garantir que les entreprises respectent leurs obligations, y compris la possibilité de les sanctionner ou de les exclure dans le cas contraire. Les nouvelles règles comprennent également des conditions plus strictes pour les transferts ultérieurs à d’autres partenaires par les entreprises adhérant au dispositif.

–                 Un accès par les autorités américaines étroitement encadré et transparent: pour la première fois, le gouvernement américain, par l’intermédiaire des services du directeur du renseignement national, a donné par écrit à l’UE l’assurance que tout accès des pouvoirs publics aux données à des fins de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de supervision bien définis, empêchant un accès généralisé aux données personnelles. Le secrétaire d’État américain, John Kerry, s’est engagé à établir une possibilité de recours pour les citoyens de l’UE dans le domaine du renseignement national, par la présence, au sein du Département d’État, d’un mécanisme de médiation qui sera indépendant des services de sécurité nationaux. Le médiateur assurera le suivi des plaintes et des demandes d’information des particuliers et leur indiquera si la réglementation pertinente a été respectée. Ces engagements écrits seront publiés au Federal Register américain.

–                 Une protection effective des droits des citoyens de l’Union et plusieurs possibilités de recours: les entreprises visées devront apporter une réponse aux plaintes dans les 45 jours. Un mécanisme de règlement extrajudiciaire des litiges sera accessible sans frais. Les citoyens de l’UE pourront également s’adresser à leur autorité nationale chargée de la protection des données, qui collaborera avec la Federal Trade Commission (Commission fédérale du commerce) pour que les plaintes déposées par les citoyens de l’UE puissent être examinées et réglées. Lorsqu’un litige n’aura pas été réglé par l’un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort, pour y trouver une solution qui soit applicable. Par ailleurs, les entreprises pourront s’engager à se conformer aux conseils prodigués par les autorités européennes chargées de la protection des données. Les entreprises traitant des données relatives aux ressources humaines seront tenues de le faire.

–                 Mécanisme de réexamen annuel conjoint: ce mécanisme permettra de contrôler le fonctionnement du «bouclier de protection des données UE-États-Unis», et notamment le respect des engagements et des assurances concernant l’accès aux données à des fins d’ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels y associeront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. La Commission s’appuiera sur toutes les autres sources d’information disponibles, y compris les rapports de transparence publiés par les entreprises, lesquels indiquent la mesure dans laquelle les pouvoirs publics ont demandé l’accès aux données. La Commission organisera également une rencontre annuelle au sommet avec des ONG et des parties prenantes dans le domaine du respect de la vie privée, pour débattre de l’évolution plus générale de la législation américaine sur la vie privée et de ses répercussions pour les citoyens européens. Sur la base du réexamen annuel, la Commission adressera un rapport public au Parlement européen et au Conseil.

Prochaines étapes

La décision finale doit maintenant être adoptée par le Collège des commissaires européens, après consultation d’un comité composé de représentants des États membres et après avis des autorités européennes chargées de la protection des données (le groupe de travail «Article 29»). Dans l’intervalle, les États-Unis prendront les dispositions nécessaires à la mise en place du nouveau cadre, des mécanismes de contrôle et du nouveau mécanisme de médiation.

Suite à l’adoption du Judicial Redress Act (loi sur le recours juridictionnel), promulgué le 24 février dernier par le président Barack Obama, la Commission va proposer sous peu la signature de l’accord-cadre. La décision sur la conclusion de l’accord devrait être adoptée par le Conseil après approbation du Parlement européen.

(Source : communiqué de la CE)