Les principales garanties du Privacy Shield
Le Privacy Shield, tel qu’il a été présenté par la commission européenne, prévoit des garanties renforçant la protection des échanges de données entre l’Union européenne et les États-Unis, dont les principales seraient les suivantes :
- Les entreprises qui traitent des données personnelles issues de l’Union européenne, devront respecter des obligations strictes et publier leurs engagements de sorte que ces derniers soient opposables et contraignants au regard de la loi américaine ;
- L’accès aux données européennes par les autorités américaines à des fins d’ordre public et de sécurité nationale ne pourra être qu’exceptionnel et devra se révéler strictement nécessaire. Pour la première fois, les États-Unis s'engagent par écrit à exclure l’exercice d’une surveillance de masse sur les données à caractère personnel transférées vers les États-Unis dans le cadre du nouveau dispositif ;
- Un réexamen de l’accord sera mené conjointement par la Commission européenne et le ministère américain du commerce chaque année ;
- La protection effective des droits des citoyens européens sera renforcée et plusieurs voies de recours seront instaurées, y compris des recours aux mécanismes de règlement extrajudiciaire des litiges qui seront gratuits, leur permettant notamment d’obtenir une indemnisation en cas d’atteinte portée à leurs données personnelles. S’agissant des éventuels accès par des services de renseignement nationaux, les citoyens européens auront la possibilité d'adresser des demandes d'information à un médiateur spécialement désigné à cette fin et de lui soumettre des plaintes.

Si la Commission européenne s’est félicitée de cet accord en le présentant comme « un nouvel accord solide » offrant aux citoyens européens la « certitude que leurs données à caractère personnel seront bien protégées « (M. A. Ansip, vice-président de la Commission européenne), l’organe consultatif européen en matière de protection des données personnelles, le G29, reste encore prudent quant à sa portée.

Qu’en pense le G29 ?
Les 2 et 3 février derniers, le G29, a tenu une réunion pour discuter des conséquences de l'arrêt de la CJUE dans l'affaire Schrems pour les transferts internationaux. Si le G29 se réjouit de la conclusion des négociations entre l'UE et les États-Unis relatives au Privacy Shield, il a d’ores et déjà témoigné ses inquiétudes sur le cadre juridique actuel des États-Unis en ce qui concerne le respect des garanties essentielles en matière de protection des données et en particulier au sujet de l’efficacité des recours ouverts aux individus pour défendre leurs droits devant un organe indépendant.

Le G29 a demandé à la commission de lui transmettre l’ensemble des documents relatifs au nouvel accord transatlantique d'ici la fin du mois de février afin d’être en mesure d’apprécier l’ensemble des mécanismes de transfert existants. Dans l’attente, le G29 a confirmé que les entreprises souhaitant transférer des données aux États-Unis pouvaient encore utiliser les mécanismes en vigueur à savoir les clauses contractuelles types et les B.C.R, ce qui implique la nécessité de soumettre des demandes d’autorisations de transfert. En outre, il n’est pas à exclure que ces alternatives soient susceptibles d’évolution et que de nouvelles démarches et/ou de nouveaux standards spécifiques aux transferts de données à destination des Etats-Unis supplanteront les mécanismes actuels, une fois l’examen du G29 achevé.

Le collège des commissaires européen adoptera sa décision sur le caractère adéquat du Privacy Shield après avoir obtenu l'avis du G29 et consulté un comité composé de représentants des États membres. Les grands principes, qui en ont été dévoilés, laissent présager une réelle avancée dans la prise en compte de la protection des données personnelles par les autorités américaines. Serait-ce suffisant ? Réponse au printemps !

Par Amira Bounedjoum - Avocat, département propriété intellectuelle et droit des technologies de l’information KGA Avocats