Un nouvel accord pour le transfert de données Europe-États-Unis

La Commission européenne a adopté mi-juillet le Privacy shield, un « bouclier de protection » concernant les données échangées avec les États-Unis. Cet accord définit des obligations pour les entreprises et des droits pour les citoyens. Il encadre également l’accès aux données pour des raisons de sûreté nationale.

La protection des données personnelles est devenue un sujet sensible, notamment en Europe et en particulier après les révélations d’Edward Snowden concernant un espionnage massif opéré par l’agence de sécurité des États-Unis (NSA). Depuis octobre 1998, le transfert de données entre les deux espaces économiques était régi par l’accord dit « Safe Harbor » qui a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne estimant son niveau de protection insuffisant pour les citoyens de l’UE. Il a été remplacé par la nouvelle directive adoptée le 12 juillet dernier par la Commission européenne.

 

Régir la collecte, le transfert et l’exploitation de données personnelles

 

Cet accord, baptisé « Privacy Shield » (bouclier de protection), prévoit un certain nombre de dispositions visant à contrôler le transfert et la conservation de données personnelles outre-Atlantique. Tout d’abord, les entreprises candidates à la collecte de telles données doivent s’inscrire auprès du département américain du commerce, administration chargée de veiller au respect des nouvelles règles. Le transfert ultérieur de données à des tiers est quant à lui couvert par le même niveau de protection.

Par ailleurs, avec le Privacy Shield, les citoyens européens pourront recourir à différents mécanismes en cas de litige avec une entreprise américaine. Cette dernière devra en premier lieu proposer une solution de règlement extra-judiciaire. S’il n’est pas d’accord, l’intéressé pourra déposer une plainte auprès de l’autorité nationale en charge de la protection des données (la Cnil en France), qui l’examinera conjointement avec la commission fédérale US du commerce. En dernier ressort, un arbitrage pourra être mis en œuvre.

 

La fin de la surveillance de masse

 

Enfin, les États-Unis ont assuré à l’UE que l’accès aux données à des fins d’ordre public et de sécurité nationale serait limité et encadré. Les autorités américaines se sont ainsi engagées à exclure toute surveillance de masse des données transitant sur leur territoire, privilégiant le ciblage, tandis que la collecte « en vrac » est soumise à des conditions préalables. Dans ce domaine aussi, les citoyens européens bénéficient de mécanismes de recours par l’intermédiaire d’un médiateur indépendant des services de renseignement des États-Unis.

Reste à savoir si l’ensemble de ces dispositions suffiront à rassurer les Européens et à éviter un nouveau scandale comme celui qui a suivi les révélations d’Edward Snowden.

 

Lire l’article (en anglais)

 

En complément :

Un article au sujet des suites juridiques attendues après l’adoption du Privacy Shield,

et le communiqué de la Commission européenne présentant le bouclier de protection des données UE-États-Unis.