Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Muriel Assuline, Cabinet Assuline & Partners : Le « Privacy Shield » adopté par la Commission européenne

octobre 2016 par Muriel Assuline Avocate, experte en droit des nouvelles technologies de l’information et de la propriété intellectuelle Cabinet Assuline

Le « Privacy Shield » conclu entre l´Union européenne et les États-Unis le 2 février 2016 qui doit établir un cadre pour les transferts transatlantiques des données a été adopté par la Commission européenne le 12 juillet 2016. Néanmoins, une annulation du « Privacy Shield » par la Cour de justice de l´Union européenne n´est pas exclue, dès lors que l´accord a subi des nombreuses critiques autant de la part des autorités européennes de protection des données que de la part de la société civile.

Le « Privacy Shield » remplacera la décision d´adéquation précédente, à savoir le « Safe Harbor » qui a été invalidé par la Cour de justice de l´Union européenne le 6 octobre 2015 (CJUE, 6 octobre 2015, Affaire C-362/14, Maximilian Schrems c/Data Protection Commissionner). Il faut rappeler en ce sens que le « Safe Harbor » laissait les entreprises américaines auto-certifier qu´elles ont fait assez pour protéger les données des citoyens européens. Il a été invalidé par la Cour de justice de l´Union européenne à la lumière des révélations d´Edward Snowden signalant la surveillance de masse mise en place par les autorités américaines de renseignement.

Le comité de l´article 31 institué par la Directive 95/46/CE a adopté le « Privacy Shield » le vendredi, 8 Juillet 2016. Aucun des représentants des États membres n´a voté contre la nouvelle décision d´adéquation. Néanmoins, quatre pays se sont abstenus de voter : l´Autriche, la Croatie, la Slovénie, et la Bulgarie. Il est permis de considérer en ce sens que leur abstention était un moyen d´exprimer la méfiance à l´égard du « Privacy Shield ». La Commission européenne a également adopté le « Privacy Shield » le 12 juin 2016.

Après l´adoption du « Privacy Shield » par la Commission européenne, Vera Jourová, la Commissaire européenne chargée de la justice, des consommateurs et de l’égalité des genres, a déclaré : « Le bouclier de protection des données UE-États-Unis est un nouveau système solide destiné à protéger les données à caractère personnel des Européens et à procurer une sécurité juridique aux entreprises. Il prévoit des normes renforcées en matière de protection des données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte. Le nouveau cadre rétablira la confiance des consommateurs dans le contexte du transfert transatlantique de données les concernant. Nous avons travaillé de concert avec les autorités européennes de protection des données, le Parlement européen, les États membres et nos homologues américains afin de mettre en place un dispositif reposant sur les normes les plus élevées en vue de protéger les données à caractère personnel des Européens ».

Une adoption mettant fin à l´insécurité juridique
L´adoption du « Privacy Shield » met fin à des mois d´incertitude pour des nombreuses entreprises telles que Google et Facebook après que la Cour de justice de l´Union européenne a invalidé le « Safe Harbor ». Pour cette raison, les entreprises du numérique ont salué cette étape supplémentaire sur le chemin de l´adoption définitive de la décision d´adéquation.
En ce sens, John Higgins, le directeur général de DigitalEurope, un lobby qui rassemble Google, Apple, Microsoft et IBM a affirmé que « même si les négociations n´ont pas été faciles, nous félicitons la Commission et le Département du Commerce des États-Unis pour le travail de restauration de la confiance dans les transferts des données entre l´Union européenne et les États-Unis ».

Selon la Commissaire Jourová, le « Privacy Shield » a mis en place des « limites claires, des garanties et des mécanismes de contrôle » de la façon dont les données devront être protégées dans l´avenir. En ce sens, le « Privacy Shield » prévoit que les données relatives aux citoyens européens stockées sur le territoire des États-Unis doivent bénéficier d´une protection équivalente à celle prévue par la législation européenne.

Une invalidation probable du « Privacy Shield » par la CJUE

Les versions antérieures du pacte de « Privacy Shield » ont été critiquées par les autorités européennes de protection des données, qui ont dit qu’il ne va pas assez loin . En effet, il n´est pas exclu que cet accord soit contesté devant les tribunaux après son adoption. Max Schrems, avocat et docteur en droit qui a attaqué le « Safe Harbor » devant la Cour de justice de l´Union européenne, pourrait aussi attaquer le « Privacy Shield ». En ce sens, à l´instar du G29 et du Contrôleur européen de la protection des données, il a déjà affirmé que l´accord n´assure pas les garanties de protection des données prévues par la législation européenne (et notamment par la Directive 95/46/CE ainsi que par la Charte des droits fondamentaux de l´Union européenne). De même, la présente décision d´adéquation ne remédie pas aux critiques adressés par la Cour de justice de l´Union européenne au « Safe Harbor » dans sa décision du 6 octobre 2015 (CJUE, 6 octobre 2015, Affaire C-362/14, Maximilian Schrems c/Data Protection Commissionner). Ainsi, le nouvel accord manque de clarté et de précision quant aux principes-clés de la protection des données tels que consacrés dans la législation européenne. En même temps, les mécanismes contenus dans l´accord qui permettent aux citoyens européens d´exercer leurs droits sont trop complexes et par conséquent inefficaces.

Max Schrems estime, entre autres, que les dispositions du « Privacy Shield » ne prévoient pas toutes les garde-fous appropriés pour protéger les droits des citoyens de l´Union. En particulier, l´accord n´offre pas une garantie suffisamment élevée des principes de nécessité et de proportionnalité. Selon Max Schrems, le principe de limitation de la finalité du traitement n´est pas appliqué correctement (sous le « Privacy Shield », pas besoin d´avoir une finalité spécifique, dès lors qu´une finalité très large est suffisante). Cela neutralise également le principe de minimisation des données en vertu duquel les données traitées doivent être supprimés une fois le traitement a été réalisé.

Une amélioration considérable a été acquise par le « Privacy Shield », qui par rapport au « Safe Harbor » mentionne expressément et aborde d´une manière exhaustive l´hypothèse de l´accès par les autorités américaines aux données en provenance de l´Union européenne à des fins de sécurité nationale. Néanmoins, alors que le « Safe Harbor » traitait l´accès aux données personnelles pour des motifs de sécurité nationale comme une exception, cette dérogation pourrait devenir la règle dans le cadre du « Privacy Shield ». Ainsi, le nouvel accord est en train de légitimer un accès systématique des services de renseignement américains aux données personnelles en provenance de l´Union européenne pour des motifs de sécurité nationale.

L´un des points positifs de la décision d´adéquation consiste dans le mécanisme de réexamen annuel conjoint qui permettra de contrôler le fonctionnement du « Privacy Shield », et notamment le respect des engagements et des assurances concernant l´accès aux données à des fins d´ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le Département du commerce des États-Unis, en association avec des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données.

La décision constatant le caractère adéquat du niveau de protection a été notifié le 12 juillet 2016 aux États membres et entrera en vigueur immédiatement. Aux États-Unis, les textes relatifs au « Privacy Shield » ont été publiés au Federal Register (l’équivalent du Journal officiel européen). Le ministère américain du commerce mettra le « Privacy Shield » en service. Dès que les entreprises auront eu l’occasion d’examiner le cadre et de se mettre en conformité, elles peuvent obtenir une certification auprès du ministère du commerce. Parallèlement, la Commission publiera un guide succinct à l’intention des citoyens, leur expliquant les possibilités de recours au cas où ils estimeraient que des données à caractère personnel les concernant ont été utilisées sans qu’il soit tenu compte des règles en matière de protection des données.


Voir les articles précédents

    

Voir les articles suivants