Privacy shield : tout va très bien madame la Marquise !

Publié le par - 1329 vues

La Commission européenne se déclare satisfaite de l’efficacité du bouclier de protection des données personnelles, plus connu sous son appellation anglaise Privacy Shield. Son évaluation (qui relève autant de la politique que du droit) fait grincer quelques dents : les USA n’ont rien lâché sur leur obsession sécuritaire de sorte que les données des européens, une fois aux USA, y sont soumises à des lois extrêmement lâches.

La Commission européenne sa-tis-faite !

La Commission européenne a publié son rapport sur le troisième examen annuel du fonctionnement du bouclier de protection des données UE-États-Unis. Le rapport confirme que les États-Unis continuent de garantir un niveau suffisant de protection des données à caractère personnel transférées de l’UE vers les sociétés participantes des États-Unis au titre du bouclier de protection des données.

Selon la Commission, depuis le deuxième examen annuel, plusieurs améliorations ont été apportées au fonctionnement du cadre et des nominations ont été effectuées dans des organismes clés de surveillance et de recours, comme celle du médiateur du bouclier de protection des données.

Alors que le bouclier en est à sa troisième année d’activité, l’examen s’est concentré sur les enseignements tirés de sa mise en œuvre et de sa fonctionnalité quotidienne. Aujourd’hui, quelques 5.000 sociétés participent à ce cadre de protection des données UE-États-Unis.

Parmi les améliorations relevées, le troisième examen note que :

  • Le ministère américain du commerce assure la surveillance nécessaire de manière plus systématique, en procédant par exemple à des vérifications mensuelles auprès d’un échantillon de sociétés pour contrôler le respect des principes du bouclier de protection des données.
  • L’action répressive s’est améliorée grâce aux mesures adoptées par la commission fédérale du commerce pour faire appliquer les principes du bouclier de protection des données dans plusieurs affaires.
  • Un nombre croissant de citoyens de l’Union font usage de leurs droits au titre du bouclier de protection et les mécanismes de recours appropriés fonctionnent correctement.
  • Parallèlement à la nomination du médiateur permanent, les deux derniers postes vacants au Conseil de surveillance de la vie privée et des libertés civiles ont été pourvus, ce dernier disposant ainsi d’un effectif complet pour la première fois depuis 2016.

Des améliorations quand même

La Commission recommande toutefois que certaines mesures concrètes soient prises pour mieux assurer le bon fonctionnement du bouclier de protection des données dans les faits. Il y a notamment lieu de renforcer le processus de (re)certification des sociétés qui souhaitent participer en réduisant la durée du processus de (re)certification; en élargissant les contrôles de conformité, y compris en ce qui concerne les fausses déclarations de participation au cadre; et en élaborant des orientations supplémentaires pour les sociétés liées aux données relatives aux ressources humaines. La Commission s’attend aussi à ce que la commission fédérale du commerce renforce ses enquêtes sur la conformité avec les exigences de fond du bouclier de protection des données et informe la Commission et les autorités de protection des données de l’Union des enquêtes en cours.

La Commission marche sur un fil

La commissaire pour la justice, les consommateurs et l’égalité des genres, a déclaré: « Avec quelque 5 000 sociétés participantes, le bouclier de protection des données est une réussite. L’examen annuel nous permet de vérifier que tout fonctionne correctement. Nous poursuivrons le dialogue sur la diplomatie numérique avec nos homologues américains afin de rendre le bouclier plus solide, notamment en matière de contrôle, d’application de la législation et, à plus long terme, pour améliorer la convergence de nos systèmes. »

Méthode Coué ou croyance sincère ?

L’exercice de la Commission est difficile : elle ne peut pas se déjuger (c’est elle qui a adopté la décision validant le privacy shield), mais en même temps elle doit se montrer prudente car bien malin celui qui peut prétendre comment les choses évolueront du côté de Luxembourg.

Après avoir invalidé le safe harbour, la Cour européenne va-t-elle aussi invalider les CCT au motif que les données, une fois aux USA, sont susceptibles d’être ensuite traitées par les autorités du pays à des fins de sécurité nationale mais également de maintien de l’ordre public et de conduite des affaires étrangères ? (voir la question posée)

L’audience qui s’est tenue début juillet 2019 devant la Cour de justice dans le Xème épisode de la saga Schrems/Facebook a montré à quel point les vues divergent. Selon certains, tout ce qui porte un uniforme officiel aux USA peut accéder à peu près à n’importe quelles données : police, douane, DEA, autorités boursières, sans oublier la très longue liste des agences consacrées à la sécurité, la surveillance et le terrorisme. Selon les autres, les USA ont un régime strict mais néanmoins équilibré et respectueux des droits fondamentaux des personnes.

Quel sera l’impact de l’affaire Schrems/Facebook sur le privacy shield ?

Difficile à prédire.

D’un côté, la CJUE est saisie des clauses types et non du privacy shield, et les deux fonctionnent selon leur logique propre.

D’un autre côté, le problème est fondamentalement le même dans les deux cas : que les données se retrouvent aux États-Unis dans le cadre des clauses types ou du privacy shield, ce qui dérange les opposants est le cadre juridique national américain, qui permet a posteriori de revenir sur tous les engagements dès l’instant où la sécurité/intérêt national est en jeu. Dès lors, si cette critique devait s’avérer fondée pour un mécanisme, il sera très difficile que l’autre survive.

Contexte

La décision relative au bouclier de protection des données UE-États-Unis a été adoptée le 12 juillet 2016 et le cadre du bouclier de protection des données est entré en vigueur le 1er août 2016. Ce cadre protège les droits fondamentaux de tout citoyen de l’Union dont les données à caractère personnel sont transférées à des fins commerciales vers des sociétés certifiées aux États-Unis, tout en apportant de la clarté juridique aux entreprises qui ont recours à des transferts transatlantiques de données.

La Commission s’est engagée à procéder à un examen annuel du dispositif afin de s’assurer qu’il continue de garantir un niveau de protection adéquat des données à caractère personnel. Les premier et deuxième examens annuels ont eu lieu en septembre 2017 et en octobre 2018, respectivement.

Le 12 septembre 2019, la directrice générale de la justice et des consommateurs, Mme Tiina Astola, et le ministre américain du commerce, M. Wilbur Ross, ont lancé les discussions en vue du troisième examen du bouclier de protection des données UE-États-Unis (déclaration). Les constatations de ce rapport se fondent sur les réunions qui ont eu lieu en septembre 2019 à Washington avec des représentants de tous les ministères américains chargés de gérer le bouclier de protection des données, dont le ministère du commerce, la commission fédérale du commerce, le bureau du directeur des services de renseignement américains et le ministère de la justice ainsi que sur les contributions d’un large éventail de parties prenantes, y compris un retour d’information de sociétés et d’ONG exerçant des activités dans le domaine de la protection de la vie privée. Des représentants des autorités indépendantes de protection des données de l’UE ont également participé à cet examen. Un litige est actuellement pendant devant la Cour de justice de l’Union européenne sur les transferts de données UE-États-Unis, ce qui peut aussi avoir une incidence sur le bouclier de protection des données. Une audition a eu lieu en juillet 2019 dans l’affaire C-311/18 (Schrems II) et une fois l’arrêt de la Cour rendu, la Commission évaluera ses conséquences pour le bouclier de protection des données.

Plus d’infos ?

En lisant le rapport d’évaluation, disponible en annexe.

Droit & Technologies

Annexes

Rapport d’évaluation de la Commission

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK