Veille Ethique et Réglementaire Juillet 2016 Commission Européenne
Transcription
Veille Ethique et Réglementaire Juillet 2016 Commission Européenne
Veille Ethique et Réglementaire Juillet 2016 Commission Européenne Adoption du bouclier de protection des données UE/États-Unis : Privacy Shield Contexte : Le 2 février 2016, la Commission européenne et le gouvernement des Etats-Unis sont parvenus à un accord politique pour mettre en œuvre un nouveau cadre pour les échanges de données à caractère personnel outre Atlantique, afin de remplacer le Safe Harbor (invalidé par un arrêt de la Cour de Justice de l’Union Européenne le 6 octobre 2015) ; Le projet de décision sur le Privacy Shield a été présenté le 29 février ; Le groupe de travail « article 29 » a rendu un avis le 13 avril ; Le Parlement européen a adopté une résolution le 26 mai; Le 8 juillet 2016, les représentants des Etats membres réunis au sein du comité « article 31 » ont approuvé la version finale du Privacy Shield; Enfin, le 12 juillet 2016, la Commission européenne a adopté la décision relative au Privacy Shield. Le nouveau cadre de sécurité vise à protéger les droits fondamentaux des citoyens européens, dont les données à caractère personnel pourraient faire l’objet d’un transfert vers les Etats-Unis, et apporte une clarté juridique aux entreprises qui opèrent ces transferts. Le Privacy Shield, qui vient remplacer le Safe Harbor, « prévoit des normes renforcées en matière de protection des données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte » d’après la commissaire européenne en charge de la justice Mme Věra Jourová. Le Privacy Shield devrait désormais connaitre une période d’implantation durant laquelle l’Europe et les Etats-Unis vont pouvoir mettre en place les structures nécessaires. Les principaux apports du Privacy Shield : La mise en place d’obligations strictes pour les entreprises qui traitent des données, lesquelles feront l’objet de mises à jour et de réexamens réguliers, pour s’assurer de la conformité aux règles qu’elles se sont engagées à respecter. Les entreprises qui ne respecteront par leur engagement pourront faire l’objet de sanctions et s’exposeront à une radiation de la liste des entreprises participant à ce dispositif de protection. La mise en place d’une protection efficace des droits individuels. Tout citoyen qui estime qu’une utilisation abusive de ses données a été opérée dans le cadre du Privacy Shield aura à sa disposition plusieurs mécanismes accessibles et abordables de règlement des litiges. En France, tout intéressé pourra directement s’adresser à la CNIL pour que les plaintes soient examinées et réglées. Le cas échéant, un mécanisme d’arbitrage sera disponible en dernier ressort. L’accès des pouvoirs publics américains, problématique sous le Safe Harbor, sera désormais soumis à des conditions claires et des obligations de transparence. Ainsi, l’accès des pouvoirs publics américains aux données à caractère personnel à des fins d’ordre public et de sécurité nationale fera l’objet de limitations. Seront mis en place des conditions et des mécanismes de surveillance bien définis. Enfin, le Privacy Shield prévoit un mécanisme de réexamen annuel conjoint, permettant de contrôler le fonctionnement de ce bouclier de protection des données. Ce dispositif sera conduit par la Commission européenne et le ministère européen du commerce, associés à des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. Les entreprises qui se mettront en conformité avec le Privacy Shield pourront obtenir une certification auprès du ministère du commerce à partir du 1er août. En parallèle, un guide publié par la Commission à l’intention des citoyens, exposera les possibilités de recours à leur disposition s’ils estiment que des données à caractère personnel les concernant ont été utilisées dans le non-respect des règles en matière de protection des données. Source : http://europa.eu/rapid/press-release_IP-16-2461_fr.htm