- Jan Vanbeckevoort - Griet Verfaillie
- EU-US Privacy Shield , Safe Harbor Framework , transfer , donnée à caractère personnel , Schrems , privacy , data protection , donnée personnel
News
Une nouvelle proposition de “EU-US Privacy Shield” en réponse à la préoccupation d’offrir un niveau
de protection adéquat pour le transfert de données à caractère personnel de l’UE vers les
Etats-Unis.
Le 2 février 2016, la Commission européenne a annoncé dans un communiqué qu'elle avait un nouvel accord politique avec le Département américain du Commerce qui rendait le transfert des données personnelles de l'Union européenne (UE) vers les États-Unis (USA) à nouveau possible.
Dans une analyse
précédente, nous avions déjà signalé la décision “Schrems” de la Cour de justice du 6 Octobre
2015, qui a conduit à la nullité du Safe Harbor Framework entre l’UE et les États-Unis concernant
le transfert de données à caractère personnel de l'UE, et les lacunes juridiques en
conséquence.
Le “EU-US Privacy Shield” remplacera le «Safe Harbor Framework» et souhaite répondre aux critiques
de la Cour de justice en ce qui concerne les garanties d’un niveau de protection adéquat aux
États-Unis. Par conséquent, des entreprises comme Facebook ou Google, qui transfèrent des données à
caractère personnel de l’UE aux États-Unis, se retrouvaient dans un vide juridique.
Vous trouverez ci-dessous les grandes lignes de ce nouvel accord :
- Chaque citoyen européen qui estime qu’on abuse de ses données personnelles disposera de
différents recours.
Les entreprises américaines devront respecter des délais pour répondre aux plaintes.
Les autorités européennes de protection des données pourront transmettre des plaintes au Département du Commerce et à la Federal Trade Commission, et un poste d'ombudsman, qui traitera des plaintes spécifiques des citoyens de l'UE, sera créé aux États-Unis. - Les entreprises américaines qui importent des données à caractère personnel de l’UE seront soumises à des exigences strictes sur la manière dont elles traitent les données à caractère personnel et garantissent les droits individuels tels que la protection de la vie privée.
- En outre, les Etats-Unis ont donné des assurances écrites claires que l'accès des autorités américaines aux données sera limité et proportionnel.
- Cet accord sera réévalué chaque année.
Cependant, il n’y a, à l’heure actuelle, aucun texte juridique disponible.
Des négociations sur la mise en œuvre de cet accord politique dans une Décision de la Commission
auront lieu dans les prochaines semaines. Cela se passera en tout cas après la consultation et
l'avis du groupe de travail « Article 29 », un organisme consultatif indépendant composé de
représentants de toutes les autorités nationales de protection des données dans l'UE, le
Contrôleur européen de la protection des données et la Commission européenne.
En principe, une mise en œuvre pourrait suivre au mois d’avril 2016.
Entre-temps, les mécanismes alternatifs de transfert de données de l'UE vers les Etats-Unis
demeurent un moyen valable de transfert de données, notamment les BCR (les règles internes
d'entreprise) et les CCT (clauses contractuelles types).
L’utilisation de l’ancien régime « Safe-Harbor » est déconseillée.
A suivre…
