Le 2 février, les Etats-unis et la Commission européenne ont trouvé un accord « EU-US Privacy Shield ».
Depuis le 6 octobre 2015, date de la décision de la CJUE (1), qui a déclaré invalide la décision d’adéquation « Safe Harbor », la commission européenne et les États-Unis sont entrés dans une phase intense de négociations alors même qu’elles étaient engagées bien avant cette date, en vue de définir un nouvel accord Safe Harbor, tenant compte des enseignements de ladite décision.
Par un communiqué du 2 février, la Commission européenne a indiqué avoir trouvé un accord avec les Etats-Unis imposant des obligations plus fortes aux sociétés américaines important des données à caractère personnel depuis l’Europe et une surveillance plus étroite de son application que celle existant pour le Safe Harbor par le Département du commerce et de la Federal Trade Commission. Cet accord se nomme EU-US Privacy Shield.
Par ailleurs, pour remédier au reproche fait par la CJUE relatif au caractère massif et indifférencié (2) de la surveillance par les autorités américaines, la Commission européenne a obtenu un engagement des Etats Unis :
- d’abandonner la surveillance massive et indifférenciée des données,
- de définir les conditions et les limites de la surveillance par les autorités américaines.
En outre, les Etats Unis s’engagent à mieux assurer les droits des européens en leur reconnaissant des voies de recours et en créant une procédure alternative de résolution des litiges.
Dans le même sens, pour renforcer la protection des citoyens européens, le Privacy Shield prévoit plus de transparence sur l’utilisation des données en fournissant notamment une information plus claire des individus sur les droits dont ils bénéficient.
En outre, les Etats Unis s’engagent à mettre en œuvre une coopération entre les autorités européennes de protection des données, le Département du Commerce et la FTC, pour assurer l’effectivité des engagements pris dans le Privacy Shield.
Si cet accord est la première pierre à l’édifice de la construction du nouveau droit de la protection des données à caractère personnel en cas de transfert de données vers les Etats Unis, il convient maintenant d’attendre que la commission prenne une décision d’adéquation en remplacement de celle invalidée par la CJUE.
Néanmoins, une autre inconnue à ce stade demeure. En effet, il reste à savoir, dans ce contexte, quelle sera la position du groupe de l’article 29 qui avait imposé aux autorités une date limite au 31 janvier 2016 pour trouver un accord. La question étant de déterminer si ce nouvel accord met en place des garanties suffisantes pour que les entreprises mettant en œuvre ce nouveau programme soient considérées par les autorités européennes de protection comme offrant un niveau de protection adéquat.
Céline Avignon
Lexing Publicité et marketing électronique
(1) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner
(2) Voir notre post du 30-10-2015.