Protection des données personnelles : Privacy Shield, les intentions sont bonnes…

Protection des données personnelles : Privacy Shield, les intentions sont bonnes…
Data center © DR

Suite à l’annonce de l’accord « Privacy Shield », par la Commission européenne, les transferts de données personnelles entre l’Europe et les Etats-Unis devraient avoir un nouveau cadre juridique sécurisé. Le point avec Fabrice Naftalski

Le vide juridique n’était pas permis. Trop d’enjeux commerciaux sont en balance, et cela sans même parler du respect que les Etats-Unis doivent à la vie privée des citoyens européens. Il fallait donc que l’Europe et les USA s’accordent à nouveau sur un cadre juridique pour permettre aux entreprises de transférer des données à caractère personnel, entre les deux continents.

Pour rappel, depuis le 31 janvier 2016, l’accord Safe Harbor, prohibé par la Cour de Justice de l’Union européenne à l’automne dernier (CJUE, 6 octobre 2015, aff.  C - 362/14) ne permet plus d’opérer de transfert de données personnelles vers les Etats-Unis. L’affaire Snowden est passée par là, révélant au monde entier la surveillance de masse des autorités gouvernementales américaines.

L’effet d’annonce de la Commission européenne

Le 2 février, la Commission européenne a donc fait savoir qu’un nouvel accord international - Privacy Shield - remplacera le Safe Harbor. Les principes du respect de la vie privée sont énoncés et notamment la fin de la surveillance de masse. Sauf que, pour le moment, le  contenu de l’accord est inconnu.

Fabrice Naftalski, avocat associé chez EY, précise « il faut attendre l’analyse qu’en fera, d’ici mars prochain, le G29 pour évaluer son réel niveau de protection ». En effet, le G29 qui réunit les régulateurs numériques européens a déjà fait savoir qu’il suspendait son avis à la connaissance de la formalisation des mesures annoncées. Le diable peut se cacher dans les détails. Rendez-vous est donc pris avec le G29 pour début mars 2016 qui fera office de juge de paix, ou pas.

Les acquis, les zones d’ombre

Dans le cadre du Privacy Shield, les surveillances des autorités américaines feront l’objet d’un contrôle a posteriori conjointement par la Commission européenne et le département du commerce américain. Une première inquiétude se fait jour. Selon Fabrice Naftalski : « au regard des premières déclarations sur le Privacy Shield, la zone d’ombre qui apparaît clairement est celle des garanties formelles sur les modalités d’accès aux données par les autorités gouvernementales, qui seront ou ne seront pas inscrites dans le texte, exigées en amont du transfert de données vers les Etats-Unis ».

Par ailleurs, lorsqu’un citoyen européen se plaindra d’une l’ingérence dans sa vie privée, il pourra recourir à un médiateur directement rattaché à la Maison Blanche. Ce dernier sera compétent pour l’indemniser le cas échéant.

En parallèle, il faut encore signaler le projet de loi - Judicial Redress Act - en cours d’examen au Sénat américain qui doit donner le droit aux ressortissants européens de plaider devant les juridictions américaines, en cas d’atteinte à leur vie privée. L’aboutissement de la mesure est déjà hypothéqué. Un amendement déposé sur le texte, subordonne ce droit à la priorité des services de renseignement américains.

Business

Les entreprises, elles, ne sont pas encore sorties de la zone rouge. Le Safe Harbor n’est plus et le Privacy Shield n’est pas encore en vigueur. Pour ne pas se mettre en infraction, elles doivent soumettre leurs transferts de données personnelles à des clauses standards – validées par l'Europe – qui garantissent une protection de la vie privée, au niveau des exigences de l’Europe (directive de 1995). Au sein, d’un même groupe, il faut recourir au BCR (Binding Corporate Rules) qui constituent un code de conduite impératif, définissant la politique d'une entreprise en matière de transferts de données (le groupe Axa fonctionne sur ce modèle).

Attention, à la différence du Safe Harbor, ou du futur Privacy Shield, ces méthodes contractuelles nécessitent l’accord préalable des régulateurs numériques, comme la CNIL en France. Pas très souple en termes d’innovation.  
De plus, « à la différence des clauses standards, le Privacy Shield, comme le Safe Harbor, ne nécessitera pas de mise à jour à chaque évolution des traitements des données par l’entreprise si c’est dans le périmètre de la certification initiale » souligne encore Fabrice Naftalski.

Cependant, il est important de noter que ces solutions contractuelles, qui ne permettent pas de se prémunir, de facto, davantage que le Safe Harbor de l'intrusion des autorités gouvernementales américaines, n'ont pas été suspendues par l'Europe. Une bulle d'oxygène bienvenue pour les entreprises.

Le Privacy Shield devra aussi définir, pour les quelques 4000 entreprises concernées, les conditions dans lesquelles elles pourront, ou non, se prévaloir de leur accrédiation Safe Harbor, par équivalence. A défaut, toute la procédure d'accréditation devra être reprise à zéro.

Enfin, sur le strict plan du droit se pose, la question de l’opposabilité exacte du Privacy Shield. Une pleine opposabilité aux agences de renseignement américaines étant seule à même de concrétiser l’objectif de protection de la vie privée des consommateurs européens.

Des valeurs communes

« La communauté de valeurs entre les Etats-Unis et l’Europe, les enjeux commerciaux à l’échelle planétaire sont de bonnes raisons d’espérer que le Privacy shield soit à la hauteur des enjeux, veut croire Fabrice Naftalski. Par ailleurs, il faut rappeler que le Safe Harbor n’était pas un mauvais accord en soi, il s’est traduit par des actions de la FTC suivies de poursuites et sanctions dans de nombreux cas d’utilisation illégale des données personnelles. Je suis donc optimiste, même si en tant que juriste je me dois de rester prudent ».

Entre intention et effectivité, la mesure de l'écart sera clivante.

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 17 juillet 2020

couverture indisponible Je consulte

Emploi

Mutuelle des Iles Saint Pierre et Miquelon Assurances

REDACTEUR H/F

Postuler

CEGEMA

Chargé(e) de Gestion Emprunteur H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Création d'un Organisme Foncier Solidaire à Mayotte.

Etablissement Public Foncier et Aménagement de Mayotte Deal

12 juillet

976 - EPFA DE MAYOTTE

Proposé par   Marchés Online

Commentaires

Protection des données personnelles : Privacy Shield, les intentions sont bonnes…

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié