La directive européenne 95/46/EC interdit les transferts de données personnelles d’un Etat membre vers un Etat tiers, sauf si ces transferts présentent un niveau de protection « adéquat ». Le Safe Harbor garantissait l’adéquation du transfert de données personnelles de l’Union européenne vers les entreprises américaines adhérentes aux règles protectrices de l’Union européenne. Le 6 octobre dernier, la CJUE a toutefois invalidé ce dispositif, malgré la décision d’adéquation de la Commission européenne intervenue 15 ans auparavant, considérant que la Commission n’avait pas recherché si les Etats-Unis assuraient effectivement une protection adéquate et suffisante des données personnelles ainsi transférées.

Après plusieurs mois de vide juridique sur l’avenir des transferts des données personnelles transatlantiques à la suite de cette remise en cause du Safe Harbor, la Commission européenne et les Etats-Unis sont finalement parvenus à un accord intitulé le « Privacy Shield » adopté par décision d’adéquation le 12 juillet dernier. Que prévoit cet accord ? Quand entrera-t-il en vigueur ? Comporte-t-il toutes les garanties de protection requises par les règles de l’Union européenne ? Force est de constater que les questions autour de ce thème sont toujours nombreuses.

Que prévoit le Privacy Shield sur le transfert des données personnelles ?

Tout comme le Safe Harbor, le Privacy Shield repose sur un système d’auto-certification des entreprises américaines adhérentes à l’accord. Par leur adhésion, elles s’engagent à respecter un certain nombre de principes définis par le Privacy Shield. S’agissant des données personnelles des salariés, si l’adhésion au Privacy Shield devrait faciliter le transfert de données aux Etats-Unis au sein d’un même groupe international, cela ne se fera pas au détriment de la protection accordée par la législation européenne aux données personnelles.

En effet, les entreprises bénéficieront du Privacy Shield pour le transfert aux Etats-Unis des données RH notamment concernant leurs salariés seulement si le traitement de ces données dans l’Etat membre de l’Union européenne a été fait conformément à la législation. A titre d’exemple, les images d’une caméra de vidéosurveillance d’une filiale française ne pourront être transférées à la société-mère américaine que si la mise en place de ce système de contrôle des salariés a fait l’objet d’une consultation des représentants du personnel, d’une information auprès des salariés eux-mêmes et d’une déclaration spécifique auprès de la CNIL.

En outre, conformément au principe de choix, les entreprises adhérentes ne pourront, sans l’accord du salarié, utiliser ses données personnelles, initialement collectées à des fins de gestion du personnel et transférées aux Etats-Unis pour une autre finalité (par exemple à des fins marketing). Cette nouvelle finalité devra, en outre, être compatible avec la première. En tout état de cause, le choix du salarié (d’accepter ou non la nouvelle finalité) ne pourra porter atteinte à sa carrière ou entrainer des sanctions à son égard.

Enfin, des moyens concrets de recours effectifs pour la personne dont les droits auraient été violés sont prévus par le Privacy Shield, ce qui n’était pas le cas jusqu’à présent. Ainsi, avant d’adhérer au Privacy Shield, les entreprises américaines devront notamment prendre la mesure des risques liés à l’intervention des autorités de contrôle en matière de protection des données personnelles européennes qui pourront intervenir en cas de manquement.

L’adhésion au Privacy Shield devra être renouvelée chaque année.

L’accord prévoit également des dispositions relatives à la résolution des litiges avec la mise en place notamment d’un arbitrage en dernier ressort. En outre, un médiateur, l’Ombudsperson, indépendant des services de renseignement mais sous l’autorité directe du Secretary of State américain pourra se prononcer sur le respect ou non des règles découlant de l’application du Privacy Shield aux entreprises qui y adhèrent et des lois applicables sans jamais révéler l’existence d’éventuelles activité de surveillance (US signals intelligence).

Enfin, si le Privacy Shield entend bannir définitivement le traitement massif et non ciblé aux Etats-Unis des données européennes, ce traitement restera possible pour des objectifs de sécurité nationale : espionnage, terrorisme, armes de destruction massive, menaces sur la cyber-sécurité, sur les armées, ou menaces criminelles à caractère international.

Quand entrera-t-il en vigueur ?

La décision d’adéquation entrera en vigueur après notification à l’ensemble des états membres. Il est d’ores et déjà annoncé que la certification pourra être mise en œuvre par les entreprises américaines dès le 1er août 2016.

Le Privacy Shield sera-t-il plus protecteur que le Safe Harbor ?

Alors que de nombreuses sociétés américaines, Microsoft en tête, mais également des acteurs français tel que le syndicat professionnel Syntec Numérique, militaient pour son entrée en vigueur, le Privacy Shield fait déjà l’objet de nombreuses critiques.

En effet, dans un avis du 13 avril 2016, le G29 a déploré que les autorités américaines n’apportent pas, selon lui, d’éléments suffisamment précis pour écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Le G29 a également émis de sérieuses réserves quant à l’indépendance du médiateur (Ombudsperson) qui relève directement du Secretary of State américain et qui n’a pas de véritable pouvoir décisionnaire.

Le G29 se réunira le 25 juillet prochain afin de rendre un nouvel avis sur le Privacy Shield.

Ainsi, la CJUE pourrait parfaitement, à l’instar du Safe Harbor, être tentée de considérer que ce nouveau cadre réglementaire méconnait les exigences de la législation européenne, dissuadant de ce fait les entreprises américaines d’utiliser ce dispositif dont la pérennité n’est donc à ce jour pas assurée.

Quelle position les entreprises doivent-elles adopter ?

Par prudence, les entreprises européennes transférant des données aux Etats-Unis pourraient continuer à recourir aux outils prévus par la législation européenne tels que les clauses contractuelles types ou les BCR (Binding Corporate Rules).

Outre les questions sur la pérennité du Privacy Shield, les entreprises européennes doivent également se préoccuper des règles découlant du nouveau règlement européen (GDPR) adopté le 14 avril 2016, qui procède à une profonde refonte des règles internes européennes en matière de protection des données personnelles et qui devra également être mis en œuvre dans le cadre du Privacy Shield. Nous reviendrons vers vous sur ce sujet lors d’une prochaine publication.