chronique

Pour mieux sécuriser nos données dans les flux transatlantiques

Avocat associé Ulys

Le Privacy Shield sur le transfert de données entre l'UE et les USA est adopté.

Le cadre européen applicable interdit, sauf exceptions étroitement encadrées, tout transfert de données à caractère personnel de l’Union européenne vers un pays tiers, sauf à ce que ledit pays assure un niveau de protection adéquat.

Les Etats-Unis n’entrent pas dans cette catégorie. Néanmoins, un système d’exception, spécifique aux flux transatlantiques de données, avait été négocié: le "Safe Harbor". Les entreprises américaines, qui se soumettaient aux exigences du "Safe Harbor", étaient alors considérées comme présentant une protection adéquate. Un transfert de données vers ces entreprises était donc accepté.

Ce système a toutefois été invalidé fin 2015 par la Cour de Justice de l’UE.

Très rapidement donc, Commission européenne et gouvernement américain ont dû négocier pour dessiner un nouvel accord permettant un transfert de données vers les Etats-Unis plus sécurisé. Ce nouvel accord a été adopté par la Commission le 12 juillet dernier: il se nomme le "Privacy Shield".

De nouvelles garanties annoncées

La Commission vante les nombreuses garanties que présenterait le nouveau système:

Des obligations strictes pour les entreprises américaines qui traitent des données: le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller au respect des règles auxquelles elles ont souscrit. Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s’exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif.

Un accès des pouvoirs publics américains soumis à des conditions claires et à des obligations de transparence: les États-Unis ont donné, à l’UE, l’assurance que l’accès des pouvoirs publics aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. Les États-Unis ont exclu toute surveillance de masse systématique des données, transférées vers leur territoire dans le cadre du "Privacy Shield", et la collecte de données en vrac sera soumise à certaines conditions préalables.

Le "Privacy Shield" sur le transfert de données entre l’UE et les USA est adopté.

Une protection effective des droits individuels: tout citoyen estimant que ses données ont fait l’objet d’une utilisation abusive bénéficiera de plusieurs mécanismes de règlement des litiges. L’intéressé pourra notamment s’adresser à l’entreprise qui devra donner suite, mais également à son autorité nationale de protection des données, qui collaborera avec l’autorité américaine compétente pour que les plaintes déposées par les citoyens de l’Union soient examinées et réglées.

Un mécanisme de réexamen annuel conjoint mené par la Commission et le ministère américain du Commerce: il s’agira de contrôler le respect des engagements et assurances concernant l’accès aux données à des fins d’ordre public et de sécurité nationale.

Un nouvel accord déjà très critiqué

©Photo News

À peine finalisé, le "Privacy shield" est déjà vertement critiqué. Selon ses détracteurs, par rapport au système précédent, les améliorations ne sont que de façade. Ils annoncent même un recours en invalidation devant la Cour de justice.

Derrière les critiques, c’est chaque fois la même idée qui dérange: les innombrables possibilités dont les autorités américaines disposent pour accéder aux données.

Or c’est exactement ce que la Cour de Justice avait invalidé à l’égard du "Safe Harbor". On perçoit dans son arrêt, une véritable critique du droit américain applicable. Elle y avait estimé notamment qu’une telle réglementation permettant aux autorités publiques américaines d’accéder de manière généralisée au contenu de communications électroniques devait être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privé.

À ce titre, si les nouvelles garanties offertes ne haussent pas sensiblement le niveau de protection, il y a le risque réel d’une nouvelle invalidation.

Prochaines étapes

Pour autant, la décision de la Commission est notifiée aux États membres qui doivent prendre toutes mesures pour s’y conformer. Parallèlement, la Commission publiera un guide succinct à l’intention des citoyens, leur expliquant les possibilités de recours en cas d’utilisation abusive de leurs données. Aux États-Unis, les entreprises pourront tenter d’obtenir une certification à partir du 1er août.

Par Étienne Wéry
Avocat associé, Ulys

Lire également

Messages sponsorisés

Messages sponsorisés