Depuis 2000, les modalités de transfert des données à caractère personnel entre la France et les Etats-Unis étaient encadrées par l’accord Safe harbor. Or, par un arrêt du 6 octobre 2015, cet accord a été invalidé par la Cour de justice de l’Union européenne (CJUE, aff. C-362/14, Maximilian Schrems c/ Data Protection Commissioner). L’Union européenne et les Etats-Unis ont donc dû réfléchir dans l’urgence à un nouveau dispositif plus protecteur des données transférées outre-Atlantique (sur les premières étapes de ce processus, voir notre article : « Privacy shield : les premières pierres de l’édifice », LEXplicite, 25 mai 2016).

Le 12 juillet 2016, la Commission européenne a rendu une décision d’adéquation du Privacy shield ou bouclier de protection des données (décision C(2016) 4176 final du 12 juillet 2016), nouveau cadre pour les échanges transatlantiques de données à caractère personnel renforçant la protection des Européens en cas de transfert de leurs données vers les Etats-Unis.

Le Privacy shield tient ainsi compte des exigences énoncées par la Cour de justice de l’Union européenne dans sa décision d’invalidation du Safe harbor puisque le nouveau dispositif oblige les entreprises américaines à mieux protéger les données à caractère personnel des citoyens européens et opère un renforcement des mesures de contrôle appliquées par le ministère américain du Commerce (DoC) et la Commission fédérale du commerce (FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données.

Le nouveau dispositif comporte ainsi quatre volets principaux :

► la soumission des entreprises à des obligations fermes assorties d’un contrôle : les entreprises américaines sont, dans un premier temps, soumises à une plus grande transparence dans leurs procédures de traitement des données à caractère personnel. Elles devront notamment déclarer la totalité de leur chaîne de sous-traitants et documenter et auditer les mesures mises en œuvre pour assurer la protection des données personnelles. Elles sont également soumises à une obligation d’information des personnes concernées par le traitement, notamment sur les données collectées, les finalités, l’existence d’un droit d’accès et l’existence d’un organe indépendant de résolution des litiges. Par ailleurs, un mécanisme de surveillance des entreprises s’étant engagées à respecter le Privacy Shield sera mis en œuvre. Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s’exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif ;

► un accès aux données par les pouvoirs publics américains encadré : les Etats-Unis ont donné à l’Union européenne l’assurance que l’accès des pouvoirs publics américains aux données à des fins d’ordre public et de sécurité nationale serait limité et soumis à des conditions et à des mécanismes de surveillance bien définis. En effet, le gouvernement américain s’est engagé à ne plus pratiquer de surveillance massive et systématique, mais au contraire, à cibler les informations recueillies et traitées et à respecter le principe de proportionnalité (ce principe ne pouvant faire l’objet de dérogations que dans des circonstances exceptionnelles où une réponse rapide est nécessaire) ;

► une protection effective des droits des citoyens de l’Union et des possibilités de recours : les consommateurs membres de l’Union européenne pourront questionner l’entreprise qui gère leurs données sur ses pratiques, celle-ci étant tenue de leur répondre sous 45 jours. Dans le cas où la réponse ne satisferait pas aux exigences du texte, les consommateurs pourront avoir accès gratuitement à un médiateur chargé de résoudre le différend plutôt que d’aller en justice. Les entreprises américaines sont donc fortement incitées à soigner leur réponse sous peine de supporter les frais afférents à cette procédure.
Par ailleurs, tout citoyen de l’Union européenne s’estimant victime d’un transfert illicite de données pourra faire valoir ses droits devant les tribunaux américains ;

► un mécanisme de réexamen annuel conjoint de l’accord : ce mécanisme permettra de contrôler le fonctionnement du bouclier de protection des données, notamment le respect des engagements concernant l’accès aux données à des fins d’ordre public et de sécurité nationale.

La Commission européenne a tenu compte des différents avis rendus sur le projet d’accord, notamment par le G29 et le Contrôleur européen de la protection des données. Ainsi, de nouvelles précisions ont été apportées en matière de collecte de données, le mécanisme de médiation a été renforcé et des limites applicables à la conservation par les entreprises et au transfert ultérieur des données ont été posées.
La décision du 12 juillet 2016 est entrée en vigueur immédiatement. Les entreprises souhaitant adhérer au nouveau dispositif peuvent désormais être certifiées par le ministère américain du Commerce. Un site dédié à la mise en œuvre de ce texte est également accessible à toute personne qui souhaiterait obtenir de plus amples renseignements en la matière : https://www.privacyshield.gov/welcome.

Pour autant, toutes les inquiétudes ne sont pas levées. Dans un communiqué du 29 juillet 2016, le G29 a fait savoir que selon lui, « d’importantes préoccupations demeurent ». La première évaluation annuelle conjointe du dispositif est donc attendue avec impatience.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.