Le 12 juillet dernier, la Commission européenne a adopté une décision d’adéquation relative à l’accord « Privacy Shield« . Reprenant l’expression utilisée par la Cour de justice de l’Union européenne dans l’arrêt Schrems rendu le 6 octobre 2015, la Commission européenne a ainsi reconnu que l’accord « Privacy Shield » est de nature à assurer un niveau de protection des données à caractère personnel transférées vers les Etats-Unis « essentiellement équivalent » aux exigences européennes.

Les responsables de traitement souhaitant transférer des données à caractère personnel vers les Etats-Unis pourront désormais s’appuyer sur ce cadre juridique nouveau. Toutefois, les entreprises et les administrations demeureront libres de continuer à recourir aux outils de transferts existants (clauses contractuelles types et règles internes d’entreprises) maintenus par le règlement général sur la protection des données à caractère personnel (GDPR) du 27 avril 2016 et qui ne sont pour l’heure pas remis en cause.

Notons par ailleurs que l’accord « Privacy Shield » ne pourra entrer en vigueur qu’une fois qu’il aura été notifié à chacun des Etats membres de l’Union européenne.

Bref rappel sur le déroulement des négociations

Il convient de rappeler que la Commission européenne avait présenté l’accord en février 2016.

Après examen du texte, le G29 avait émis de nombreuses réserves quant au niveau de protection assuré par l’accord « Privacy shield » au nombre desquelles figuraient notamment le manque de clarté du texte ainsi que son manque de précisions (modalités d’application du principe de finalité limitée, absence de mention du principe de durée de conservation limitée des données, absence de règles spécifiques quant à la prise de décisions automatisées, etc.).

En mai 2016, le contrôleur européen de la protection des données avait également formulé des réserves quant au contenu de l’accord présenté. Il envisageait aussi que la décision de la Commission à intervenir puisse être, à son tour, invalidée par la Cour de Luxembourg.

Dans ce contexte, la Commission européenne était encouragée à poursuivre les négociations avec les autorités américaines.

Les modalités de transferts de données sous l’empire du « Privacy Shield »

L’accord « Privacy Shield » instaure un mécanisme d’auto-certification géré par le Département du commerce américain par lequel les entreprises américaines, qu’elles soient responsable de traitement ou sous-traitant, devront s’engager à respecter les principes définis par le texte (information des personnes, finalité limitée des traitements, sécurité des données, etc.).

Le point 17 de l’accord prévoit que les principes doivent être respectés dès la certification de l’entreprise. Toutefois, il convient de noter qu’une exception a été stipulée au profit des entreprises américaines qui, bien qu’engagées dans le processus de certification, entretiennent déjà des relations commerciales avec des tiers. Ainsi, ces entreprises bénéficieront d’un délai de neuf mois à compter de leur auto-certification pour se mettre en conformité. L’accord précise que ce régime transitoire se justifie notamment par la nécessité d’assurer l’équilibre entre le droit à la protection des données à caractère personnel des personnes et les nécessités d’adaptation des entreprises à ce nouveau cadre.

Les entités établies sur le territoire de l’Union européenne pourront consulter la liste des entreprises américaines auto-certifiées sur le site Internet dédié, une fois le recensement effectué par le Département du commerce américain. Notons que ce dernier avait annoncé que les entreprises pourraient commercer le processus de certification à compter du 1er août 2016.

En outre, la CNIL a procédé à la modification des formulaires permettant de réaliser les formalités préalables exigées par la loi « Informatique et Libertés ». En effet, l’accord « Privacy Shield » figure désormais dans la liste des garanties mises en oeuvre pour encadrer un transfert de données à caractère personnel.

La persistance de certaines réserves

Comme annoncé, le G29 a publié le 26 juillet dernier une déclaration relative à la version finale de l’accord. Le Groupe souligne les améliorations apportées par rapport à la version initiale. Toutefois, les autorités de protection européennes soulignent notamment que les modalités d’application de l’accord aux sous-traitants auraient pu être explicitées davantage. De plus, selon le G29, des garanties plus strictes auraient pu être définies quant à l’indépendance du médiateur institué pour s’assurer que les plaintes des citoyens européennes seront instruites et recevront les suites appropriées.

Il convient également de noter qu’en 2015, la Cour de justice de l’Union mettait en exergue la collecte de données à caractère personnel en masse et de manière indifférenciée effectuée par les agences de renseignement américaines. De ce point de vue, l’accord « Privacy Shield » ne semble pas contenir de dispositif pratique qui empêcherait le renouvellement de cette collecte.

Il reste à savoir si les réserves qui subsistent seront levées lors de la révision annuelle de l’accord qui devrait intervenir au cours de l’année 2017.  Mathias Avocats ne manquera pas de vous tenir informer en la matière.