Veille Ethique et Réglementaire Juillet 2016 Commission Européenne

Veille Ethique et Réglementaire
Juillet 2016
Commission Européenne
Adoption du bouclier de protection des données UE/États-Unis : Privacy
Shield
Contexte :






Le 2 février 2016, la Commission européenne et le gouvernement des Etats-Unis sont parvenus à un accord
politique pour mettre en œuvre un nouveau cadre pour les échanges de données à caractère personnel outre
Atlantique, afin de remplacer le Safe Harbor (invalidé par un arrêt de la Cour de Justice de l’Union Européenne
le 6 octobre 2015) ;
Le projet de décision sur le Privacy Shield a été présenté le 29 février ;
Le groupe de travail « article 29 » a rendu un avis le 13 avril ;
Le Parlement européen a adopté une résolution le 26 mai;
Le 8 juillet 2016, les représentants des Etats membres réunis au sein du comité « article 31 » ont approuvé la
version finale du Privacy Shield;
Enfin, le 12 juillet 2016, la Commission européenne a adopté la décision relative au Privacy Shield.
Le nouveau cadre de sécurité vise à protéger les droits fondamentaux des citoyens européens, dont les données à
caractère personnel pourraient faire l’objet d’un transfert vers les Etats-Unis, et apporte une clarté juridique aux
entreprises qui opèrent ces transferts.
Le Privacy Shield, qui vient remplacer le Safe Harbor, « prévoit des normes renforcées en matière de protection des
données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui
concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en
cas de plainte » d’après la commissaire européenne en charge de la justice Mme Věra Jourová.
Le Privacy Shield devrait désormais connaitre une période d’implantation durant laquelle l’Europe et les Etats-Unis vont
pouvoir mettre en place les structures nécessaires.
Les principaux apports du Privacy Shield :

La mise en place d’obligations strictes pour les entreprises qui traitent des données, lesquelles feront l’objet
de mises à jour et de réexamens réguliers, pour s’assurer de la conformité aux règles qu’elles se sont
engagées à respecter. Les entreprises qui ne respecteront par leur engagement pourront faire l’objet de
sanctions et s’exposeront à une radiation de la liste des entreprises participant à ce dispositif de protection.

La mise en place d’une protection efficace des droits individuels. Tout citoyen qui estime qu’une utilisation
abusive de ses données a été opérée dans le cadre du Privacy Shield aura à sa disposition plusieurs
mécanismes accessibles et abordables de règlement des litiges. En France, tout intéressé pourra directement
s’adresser à la CNIL pour que les plaintes soient examinées et réglées. Le cas échéant, un mécanisme
d’arbitrage sera disponible en dernier ressort.

L’accès des pouvoirs publics américains, problématique sous le Safe Harbor, sera désormais soumis à des
conditions claires et des obligations de transparence. Ainsi, l’accès des pouvoirs publics américains aux
données à caractère personnel à des fins d’ordre public et de sécurité nationale fera l’objet de limitations.
Seront mis en place des conditions et des mécanismes de surveillance bien définis.

Enfin, le Privacy Shield prévoit un mécanisme de réexamen annuel conjoint, permettant de contrôler le
fonctionnement de ce bouclier de protection des données. Ce dispositif sera conduit par la Commission
européenne et le ministère européen du commerce, associés à des experts nationaux du renseignement
travaillant au sein des autorités américaines et européennes de protection des données.
Les entreprises qui se mettront en conformité avec le Privacy Shield pourront obtenir une certification auprès du
ministère du commerce à partir du 1er août. En parallèle, un guide publié par la Commission à l’intention des citoyens,
exposera les possibilités de recours à leur disposition s’ils estiment que des données à caractère personnel les
concernant ont été utilisées dans le non-respect des règles en matière de protection des données.
Source : http://europa.eu/rapid/press-release_IP-16-2461_fr.htm