Juridique & Affaires Publiques

Un nouveau cadre juridique pour les transferts de données personnelles des citoyens européens aux Etats-Unis

Le nouvel accord intitulé « US-EU Privacy Shield » doit permettre une meilleure protection des données pour les européens.

Des obligations fortes pour les entreprises américaines : la publication de ces engagements sera contrôlée par le département du commerce, ce qui les rendra exécutoires. Des sanctions, voire l’exclusion des entreprises importatrices de données du nouveau dispositif, pourraient être appliquées à l’encontre des entreprises se trouvant en violation de leurs obligations.

Des garanties sur l’accès aux données par le Gouvernement américain : l’accès aux données des européens par les autorités américaines feront l’objet de limites claires, de garde-fous et de mécanismes de supervision. Ces exceptions doivent être strictement nécessaires et proportionnées. Les Etats-Unis se sont engagés à ne pas effectuer de surveillance de masse généralisée. Toutefois, Vera Jourova (commissaire à la justice et aux consommateurs) a souligné qu’« une lettre officielle du bureau de la NSA s’engageant dans le nouveau processus est la seule caution que nous ayons obtenue des Etats-Unis dans ce nouveau processus ».

Des recours pour les citoyens européens : plusieurs recours sont ouverts pour les citoyens européens. Les entreprises ont des délais limites pour répondre aux plaintes reçues. En dernier lieu un arbitrage sera rendu. Les autorités européennes de protection des données pourront adresser des plaintes au Département du commerce et à la FTC. Pour les plaintes concernant l’accès des services de renseignements un « ombudsman » (médiateur indépendant) interviendra.

Un rapport annuel sur l’application de ce nouveau cadre sera publié. 

Ce nouveau texte est destiné à remplacer l’accord « Safe Harbor » du 26 juillet 2000. Pour rappel, ce dernier permettait le transfert de données vers les entreprises adhérentes aux Etats-Unis, et donc la localisation dans des serveurs situés sur le sol des Etats-Unis, des données relatives à des citoyens européens[1]. Or, les révélations d’Edward Snowden sur le programme Prism, permettant à la NSA d’accéder aux données stockées par les géants du Net, ont mis en lumière la faiblesse de cette protection. En mars 2014, le Parlement européen demandait déjà la suspension du « Safe Harbor », et Bruxelles et Washington s’engageaient dans une renégociation. Mais c’est l’action du militant autrichien Max Schrems contre les pratiques de Facebook qui a conduit à l’invalidation de cet accord, par la Cour de justice de l’Union européenne, le 6 octobre dernier. Aux lendemains de cette décision, le G29, qui réunit les autorités de protection des données de l’ensemble des pays européens, avait demandé aux autorités des deux continents de s’accorder sur un nouveau dispositif avant le 31 janvier. Malgré cette insécurité juridique, les entreprises peuvent, en attendant, avoir recours à des solutions alternatives, via des clauses contractuelles ou des « binding corporate rules » (règles internes aux entreprises). Cet accord doit mener à un projet de décision pour les prochaines semaines.

Par ailleurs, tout citoyen européen devrait pouvoir à l’avenir faire valoir en justice ses droits sur ses données personnelles. Cette possibilité a été introduite par voie d’amendement au Judicial Redress Act, qui doit encore être adopté par le Sénat (à une date incertaine). Néanmoins, un sous amendement impose une réserve de taille à ce nouveau droit, rendant l’ensemble des nouvelles dispositions floues : « ces mesures ne seront appliquées qu’à partir du moment où elles n’entravent pas l’action des services de renseignement ».

Le G29 s’est prononcé, ce jour, sur cet accord. Il considère que celui-ci n’est pas encore assez précisé pour l’estimer suffisant ou non. Les autorités attendent ainsi un document public d’ici fin février.

[1] Cela afin de garantir le respect du droit européen, et plus particulièrement à l’article 25 de la directive 95/46 CE, qui dispose qu’un transfert de données à caractère personnel n’est possible que si « le pays tiers assure un niveau de protection adéquat ».

image_pdfimage_print

Tagged , ,

Evénement à venir

décembre

janvier 2020

février
LUN.
MAR.
MER.
JEU.
VEN.
SAM.
DIM.
30
31
1
2
3
4
5
Événements pour janvier

1st

Aucun événement
Événements pour janvier

2nd

Aucun événement
Événements pour janvier

3rd

Aucun événement
Événements pour janvier

4th

Aucun événement
Événements pour janvier

5th

Aucun événement
6
7
8
9
10
11
12
Événements pour janvier

6th

Aucun événement
Événements pour janvier

7th

Aucun événement
Événements pour janvier

8th

Aucun événement
Événements pour janvier

9th

Aucun événement
Événements pour janvier

10th

Aucun événement
Événements pour janvier

11th

Aucun événement
Événements pour janvier

12th

Aucun événement
13
14
15
16
17
18
19
Événements pour janvier

13th

Aucun événement
Événements pour janvier

14th

Événements pour janvier

15th

Événements pour janvier

16th

Événements pour janvier

17th

Événements pour janvier

18th

Événements pour janvier

19th

20
21
22
23
24
25
26
Événements pour janvier

20th

Aucun événement
Événements pour janvier

21st

Événements pour janvier

22nd

Événements pour janvier

23rd

Aucun événement
Événements pour janvier

24th

Aucun événement
Événements pour janvier

25th

Aucun événement
Événements pour janvier

26th

Aucun événement
27
28
29
30
31
1
2
Événements pour janvier

27th

Aucun événement
Événements pour janvier

28th

Événements pour janvier

29th

Événements pour janvier

30th

Événements pour janvier

31st

Aucun événement

Twitter NPA Conseil