Le 23 octobre dernier, la Commission européenne a publié son troisième rapport annuel sur l’accord « Privacy Shield ». La Commission s’est appuyée sur l’arrêt Schrems II de la CJUE à propos d’une possible violation des droits fondamentaux des européens, par les entreprises américaines. En effet, ces dernières seraient susceptibles de transférer, par le biais de clauses contractuelles types, les données de caractère personnel des citoyens de l’UE, aux agences de surveillance américaines.

Rappelons que le « Privacy Shield » est en vigueur depuis le 1er août 2016. L’objectif de cet accord est d’assurer un niveau de protection des données à caractère personnel transférées vers les Etats-Unis « essentiellement équivalent » aux exigences européennes. Dès octobre 2017, la Commission européenne a publié son premier rapport annuel sur le fonctionnement du « Privacy Shield ». Ce rapport annuel a pour objectif d’analyser le traitement et la protection des données des citoyens européens utilisées aux Etats-Unis, et d’aboutir à des propositions d’améliorations suggérées par la Commission européenne.

Bref rappel sur les améliorations proposées antérieurement

En octobre 2018, dans le deuxième rapport annuel sur l’accord « Privacy Shield » la Commission avait recommandé aux autorités américaines la création d’un Ombudsman qui aurait pour mission la défense des droits des résidents européens et le renforcement du contrôle de la certification au « Privacy Shield » par le Ministère du commerce américain. Ainsi, le 18 janvier 2019, le Président des Etats-Unis a annoncé la nomination de Monsieur Keith Krach. Cette nomination a été approuvée par le Sénat le 20 juin 2019.

Les conclusions du rapport de 2019

La Commission a constaté, dans son rapport, l’existence d’un Ombudsman permanent qui doit s’assurer qu’en cas de violation de l’accord, les données à caractère personnel d’un citoyen européen devront être supprimées si celles-ci ont été collectées et traitées de manière illégale par les services de renseignement américain.

La Commission note également que le Ministère américain du commerce procède à des vérifications mensuelles auprès d’un échantillon de sociétés pour s’assurer du respect des principes du « Privacy Shield ». A noter que, en ce mois de décembre, le Ministère américain du Commerce a annoncé un accord avec quatre sociétés (click Labs Inc, Incentive Services Inc, Global Data Vault LLC et  Tdarx Inc) qui prétendaient participer au dispositif de protection de vie privée (EU-U.S. Privacy Shield framework). A ce jour, aucune sanction pécuniaire n’a été prononcée à l’encontre de ces sociétés. Ces dernières auraient seulement pris des engagements de se conformer et de respecter la protection des données à caractère personnel des citoyens de l’Union.

Enfin, la Commission remarque le nombre croissant de citoyens de l’Union qui font usage de leurs droits issus de cet accord et note également l’efficacité des mécanismes de recours. Dans ce contexte, la conclusion du bilan annuel est que « les États-Unis continuent de garantir un niveau suffisant de protection des données personnelles transférées de l’UE vers les sociétés participantes ».

Les améliorations envisagées par la Commission européenne

Même s’il ressort de ce rapport un bilan plutôt positif, il reste nuancé. La Commission européenne suggère des améliorations, notamment un contrôle régulier et systématique pour détecter les fausses déclarations de participation au « Privacy Shield » des sociétés n’ayant jamais demandé de certification.

La Commission souhaite que le Ministère du commerce américain renforce ses enquêtes sur le respect des exigences du « Privacy Shield » et être informée des enquêtes en cours.

De manière générale, la Commission souhaite renforcer la coopération entre les autorités européennes en charge de la protection des données et le Ministère du commerce américain. Il s’agirait notamment de publier des lignes directrices communes sur la définition et les traitements de données à caractère personnel dans le secteur des ressources humaines.

Cela fait écho à la volonté d’élus américains d’avoir une loi fédérale sur les données à caractère personnelle. En effet, leur crainte est d’avoir une multiplication des lois à l’échelle des Etats, comme en Californie. Ils souhaitent un cadre juridique unifié afin d’éviter une insécurité réglementaire, eu égard à la disparité des législations, tant pour la protection des données à caractère personnelle que pour le développement des projets numériques. La création d’une agence de protection de la vie privée en ligne au sein de la Ministère du commerce américain est également en débat.

Mathias Avocats vous tiendra informé des développements.