La Commission européenne a annoncé, le 2 février 2016, avoir approuvé l’accord politique négocié entre les Etats-Unis et l’Union européenne pour faciliter le transfert de données vers les Etats-Unis et remplacer le Safe Harbor. Ledit accord, le « EU-US Privacy Shield », reflèterait, selon la Commission, les exigences posées par la Cour de Justice dans l’arrêt Schrems du 6 octobre 2015, qui a déclaré le précédent Safe Harbor invalide.

Selon le communiqué de presse de la Commission européenne, les points clés de l’accord sont les suivants :

  • Des obligations renforcées pour les entreprises traitant des données personnelles concernant les Européens et des mécanismes  d’application solides : Les entreprises américaines qui souhaiteront importer des données personnelles à partir de l’Union européenne devront se soumettre à de solides obligations sur la manière dont les données personnelles seront traitées et les droits garantis aux individus. Le Département du Commerce américain s’assurera que les entreprises publient leurs engagements, ce qui les rendra contraignants sous le droit américain et exécutoire par la FTC. De plus, toute entreprise qui traite des données personnelles relatives aux ressources humaines provenant de l’Union européenne devra s’engager à se conformer aux décisions des autorités européennes de protection des données.
  • Des garanties claires et des obligations de transparence concernant l’accès des autorités américaines aux données : Pour la première fois, les Etats-Unis ont donné à l’Union européenne des assurances écrites suivant lesquelles l’accès  aux  données  par  les  autorités publiques pour des motifs d’application de la loi (law enforcement) et de sécurité nationale fera l’objet de limites claires, avec des garanties et des mécanismes de contrôle. Ces exceptions pourront être utilisées uniquement dans la mesure où elles sont nécessaires et proportionnées. Les Etats-Unis ont exclu la surveillance de masse indiscriminée des données personnelles transférées sous couvert du nouvel accord. Afin de contrôler régulièrement le fonctionnement de l’accord, un examen conjoint annuel est prévu. Il inclura la question de l’accès aux données pour des raisons de sécurité nationale. La Commission européenne et le Département du Commerce américain conduiront l’examen et pourront inviter des experts en renseignement des Etats- Unis et des autorités de protection des données à y participer.
  • La protection effective des droits des citoyens européens avec plusieurs possibilités de recours : Tout citoyen qui considère que l’utilisation de ses données personnelles est abusive, aura, dans le cadre du nouvel accord, plusieurs voies de recours. Les entreprises se verront imposer un délai pour donner suite aux plaintes. Les autorités européennes de protection des données pourront  transmettre ces plaintes au Département du Commerce américain et à la FTC. De plus, le recours à des modes lternatifs de résolution alternative des conflits sera gratuit.

Un médiateur sera nommé pour traiter les plaintes sur l’accès aux données par les services de renseignement. Selon Reuters, ce poste de médiateur sera créé au sein du département d’Etat américain.

A noter que l’adoption d’une nouvelle décision d’adéquation par la Commission constatant que le nouveau EU-US Privacy Shield offre un niveau de protection adéquat est nécessaire pour que les transferts puissent être effectués sous couvert du nouveau Privacy Shield. Aucun transfert ne pourra être effectué sur ce fondement avant l’adoption d’une décision d’adéquation. Ce qui doit inciter les entreprises sous Safe Harbor à se préoccuper de l’adoption de solutions alternatives tant que la situation n’est pas stabilisée (clauses contractuelles, BCR, dérogations ponctuelles).

La Commission européenne a annoncé qu’un projet de décision d’adéquation sera préparé dans les prochaines semaines. Il devrait être soumis pour adoption au Collège des Commissaires, après avis du Groupe de l’article 29  (le  G29),  qui  regroupe  les autorités  de protection des 28 Etats membres de l’Union européennes, et consultation d’un comité de représentants des Etats Membres.

Si elle venait à être adoptée, la nouvelle décision pourrait rentrer en vigueur d’ici Avril 2016. Il faut néanmoins ne pas exclure qu’elle soit constestée et fasse l’objet de recours.

Le G29 a publié un communiqué de presse du 3 février 2016 saluant la conclusion des négociations sur l’introduction du « EU-US Privacy Shield ». Le G29 a neanmoins affirmé que, n’ayant pas eu accès au texte de l’accord, il reste prudent quant au contenu de l’accord et à sa force contraigante. Le G29 a appelé la Commission à lui transmettre tous les documents relatifs à l’accord d’ici la fin du mois de février. Il procèdera alors à une analyse de l’accord pour déterminer s’il peut répondre aux préoccupations soulevées par la CJUE dans l’arrêt Schrems.

Le G29 ajoute qu’il se prononcera également sur les autres mécanismes de transfert, tels que les clauses contractuelles types et le Binding Corporate Rules. Dans l’attente ces mécanismes doivent toujours pouvoir être utilisés pour transférer des données vers les Etats-Unis.