Le bouclier de protection des données UE-Etats-Unis

Conformément à l’article 25 de la Directive sur la protection des données personnelles (95/46/CE), les données personnelles peuvent être transférées à un pays tiers uniquement si celui-ci assure un niveau de protection adéquat. Cela est également prévu par l'article 45 du Règlement sur la Protection des Données 2016/679 du 27 avril 2016 qui remplacera la Directive et entrera en vigueur à partir du 25 mai 2018 dans tous les Etats Membres. 

Selon la Cour européenne de Justice, un niveau de protection adéquat implique qu’un pays tiers doit assurer un niveau de protection des libertés et droits fondamentaux essentiellement équivalent à celui garanti au sein de l’Union par la Directive sur la protection des données personnelles et la Charte des droits fondamentaux.

Etant donné que les Etats-Unis ne sont toujours pas considérés comme un pays qui assure une protection adéquate, la Commission européenne a, de concert avec les Etats-Unis, cherché une solution pour permettre un transfert sûr d’informations personnelles entre l’UE et les Etats-Unis. Les dispositions du « Safe Harbor » se sont avérées insuffisantes et ne fournissaient pas une protection adéquate. Le nouveau « Pricacy Shield » remplace les dispositions du « Safe Harbor ».

Une solution pour permettre un transfert sûr d’informations personnelles entre l’UE et les Etats-Unis

Le « Privacy Shield » est basé sur un système d’autocertification par lequel les organisations et entreprises américaines s’engagent à respecter une série de principes. Ces Principes devraient protéger le transfert d’informations personnelles de l’autre côté de l’Atlantique. Pour assurer que les principes soient respectés, le Département américain du Commerce a pris des engagements pour assurer que le « Privacy Shield » fonctionne efficacement.

La protection offerte par le « Privacy Shield » s’applique à toutes les personnes concernées de l’UE dont les donnés personnelles ont été transférées de l’UE à des organisations aux Etats-Unis qui se sont autocertifiées. Plusieurs entreprises, dont Google Inc., ont déjà rejoint le « Privacy Shield » . Sous ce Privacy Shield, toutes sortes de données peuvent être transférées, telles que des données de clients, des données sensibles, des données HR, et autres.  

1. Les Principes

Le « Privacy Shield » prévoit plusieurs principes qui doivent être respectés par les responsables du traitement comme par les sous-traitants, dès qu’ils se sont autocertifiés. Les principes en tant que tel ne sont pas nouveaux et existaient déjà dans les dispositions du « Safe Harbor ». La différence est cependant que certains de ces principes ont été renforcés et devraient fournir aux personnes concernées des protections plus adéquates.

Le Principe de Notification assure que les organisations soient obligées de fournir des informations aux personnes concernées sur un nombre d’éléments fondamentaux concernant le traitement de leurs informations personnelles. Bien que ce principe ne soit pas nouveau et existait déjà dans le « Safe Harbor », il a été renforcé.

Le Principe de l'Intégrité des Données et de la Limitation des Finalités d’une part et le Principe de Choix d’autre part n’ont pas vraiment été changés. Ils impliquent que les données personnelles doivent être limitées à ce qui est pertinent pour la finalité du traitement, et que les informations personnelles ne peuvent être conservées que pour aussi longtemps qu’elles servent la finalité pour laquelle elles ont été collectées au départ. Le Principe de Choix assure que les personnes concernées aient la possibilité de s’opposer ou de refuser.

Le Principe de Sécurité oblige les organisations à prendre des mesures de sécurité raisonnables et appropriées, tenant compte des risques encourus dans le traitement et de la nature des données. A nouveau, les dispositions du « Safe Harbor » comprenaient également cette obligation.

Selon le Principe d'Accès, les personnes concernées ont le droit d’obtenir d’une organisation la confirmation que cette organisation traite des données personnelles liées à eux. Les personnes concernées doivent pouvoir supprimer, modifier ou corriger des informations personnelles au cas où elles sont incorrectes ou traitées en violation de ces Principes.

En outre, le Principe de Recours, d'Application et de Responsabilité exige que les organisations ou entreprises fournissent des mécanismes solides pour garantir la conformité aux principes ainsi que des voies de recours à la disposition des personnes concernées de l’UE dont les données personnelles n’ont pas été traitées conformément aux principes. Les organisations doivent également prendre des mesures pour vérifier si les principes sont respectées de façon effectif.

L’un des nouveaux principes est la Responsabilité en cas de Transfert Ultérieur. Ce principe prévoit que tout transfert ultérieur peut avoir lieu à des fins limitées et spécifiques, sur base d’un contrat, et seulement si ce contrat prévoit le même niveau de protection que celui qui est garanti par les principes.

2. Autocertification et application

Selon le « Privacy Shield », les entreprises américaines devront autocertifier. La décision d’autocertifier est volontaire, cependant, une fois qu’une entreprise s’engage à autocertifier, son engagement est applicable en droit américain. Pour être autorisé à continuer à dépendre du « Privacy Shield », l’entreprise devra recertifier annuellement sa participation au bouclier.

La Commission européenne considérait que, pour garantir une application correcte du « Privacy Shield », les personnes concernées, les exportateurs de données ou les Autorités nationales chargées de la Protection des Données devaient pouvoir identifier les entreprises ou organisations qui se sont autocertifiées. En conséquence, le Département américain du Commerce a créé un site internet, www.privacyshield.org, où la liste « Privacy Shield » peut être consultée.

Les organisations qui manquent continuellement de se conformer aux Principes seront retirées de la Liste « Privacy Shield » et devront renvoyer ou supprimer les données personnelles reçues sous le « Privacy Shield ». Cela sera assuré par le Département américain du Commerce qui s’est engagé à une obligation de surveillance.

De plus, le Département américain du Commerce ainsi que la Commission fédérale du commerce américaine ou le Département des Transports rechercheront les fausses déclarations de participation au « Privacy Shield » ou les usages abusifs de la marque de certification « Privacy Shield » et prendront des mesures d’exécution.

3. Réclamations par les personnes concernées

Le « Privacy Shield » offre aux personnes concernées différentes possibilités d’exécuter leurs droits. Une personne concernée peut choisir d’introduire une réclamation directement à l’organisation ou à l’entreprise, à un organisme indépendant de règlement des litiges désigné par cette organisation ou cette entreprise, à une Autorité nationale chargée de la Protection des Données ou à la Commission fédérale du commerce américaine.

3.1 L’organisation autocertifiée doit fournir des mécanismes de recours indépendants efficaces et rapidement disponibles par lesquels les réclamations individuelles peuvent être examinées et traitées. La personne concernée peut introduire des réclamations auprès de l’entreprise elle-même. L’entreprise ou l’organisation doit mettre en place un mécanisme de recours efficace pour traiter de telles réclamations. Quand elle reçoit une réclamation d’une personne concernée ou à la suite d’un renvoi par l’Autorité chargée de la Protection des Données ou le Département américain du Commerce, l’entreprise a 45 jours pour donner une réponse. La réponse doit contenir une appréciation du bien-fondé de la réclamation et des informations sur la manière dont le problème sera rectifié.

3.2 En outre, une personne peut aussi introduire sa réclamation à un organisme indépendant de règlement des litiges, désigné par une entreprise pour examiner et traiter définitivement les réclamations. Cela doit être gratuit pour la personne en question.

3.3 Des réclamations peuvent aussi être introduites auprès des Autorités chargées de la Protection des Données. Les entreprises sont obligées de coopérer avec les Autorités chargées de la Protection des Données. L’Autorité chargée de la Protection des Données rendra un avis après que les deux parties ont eu une possibilité raisonnable de formuler leurs observations et de soumettre les éléments d'appréciation. Cet avis sera rendu, en règle générale, 60 jours après la réception de la réclamation. L’entreprise a alors 25 jours pour se conformer. Si l’entreprise ne réagit pas, l’Autorité chargée de la Protection des Données peut soumettre l’affaire soit à la Commission fédérale du Commerce, soit au Département du Commerce.

3.4 Le « Privacy Shield » met l’arbitrage à disposition des personnes concernées, pour les réclamations portant sur la violation par une organisation de ses obligations en vertu des Principes. 

Cependant, il faut noter que l’arbitrage est considéré comme un dernier recours au cas où aucun des autres mécanismes disponibles n’a fonctionné. L’arbitrage sera effectué par le « Privacy Shield Panel », et ce panel consistera en un groupe d’au moins 20 arbitres désignés par le Département du Commerce et par la Commission européenne. Le « Privacy Shield Panel » devra imposer des mesures d'équité personnalisées et non pécuniaires qui seront nécessaires pour remédier à la non-conformité aux principes.

4. L’accès aux informations personnelles par les autorités publiques américaines

Le gouvernement américain a garanti que ses services de renseignement respecteront les procédures établies en récoltant les données personnelles transférées sous le « Privacy  Shield ». La Commission européenne a évalué les limitations et protections disponibles en droit américain et a décidé qu’elles étaient suffisantes pour que les données soient protégées de manière efficace contre les interventions illicites et le risque d'abus.

A cet égard, le gouvernement américain a décidé de créer un Service de Médiation pour assurer que les réclamations individuelles soient traitées et analysées.

Les critiques du « Privacy Shield » soutiennent que ces mécanismes de recours sont beaucoup trop compliqués pour être efficaces

5. Conclusion

D’une part, le « Privacy Shield » a renforcé les obligations qui doivent être respectées dans le cadre d’un transfert UE-USA de données personnelles et d’autre part, le « Privacy Shield » prévoit un nombre de mécanismes de recours en cas de non-conformité avec les principes.

Les principes en tant que tel ne sont pas innovateurs mais les mécanismes de recours différencient le « Privacy Shield » des dispositions « Safe Harbor ». Cependant, les critiques du « Privacy Shield » soutiennent que ces mécanismes de recours sont beaucoup trop compliqués pour être efficaces. Si les principes ne peuvent pas être appliqués, le « Privacy Shield » n’a pas beaucoup d’utilité.

Il reste donc à savoir si le « Privacy Shield » sera jugé conforme à la Directive sur la Protection de la Vie privée (et désormais au Règlement sur la Protection des Données personnelles) lorsqu’il sera contesté devant la Cour européenne de Justice. (Vous pouvez consulter les principaux changements apportés par le Règlement sur la Protection des Données personnelles en cliquant ici.)