Un nouvel accord sur le partage des données, entre les États-Unis et l’Europe, entre en vigueur. Le Privacy Shield permet le flux de données à travers l’Atlantique conformément à la législation européenne sur la vie privée. (L’ancien pacte, Safe Harbor, était jugé insuffisant pour protéger les droits des Européens.) Les citoyens européens auront désormais la possibilité de demander justice auprès des  tribunaux américains s’ils estiment que les entreprises ou le gouvernement des États-Unis ont abusé de leurs données. Mais il y a eu des critiques notables des nouvelles mesures des deux côtés. Le Pacte limite l’utilisation des données pour « automatisé la prise de décision individuelle, » par exemple, conduisant à des inquiétudes qu’il peut freiner la recherche sur l’intelligence artificielle . À l’autre bout du spectre, certains pays de l’UE craignent que cela ne va pas assez loin dans la protection des droits de leurs citoyens. Une réalité probable : le Pacte sera bientôt contesté devant les tribunaux.

Communiqué de presse

La Commission européenne lance le bouclier de protection des données UE-États-Unis: une protection renforcée pour les flux de données transatlantiques

Bruxelles, le 12 juillet 2016

La Commission européenne a adopté aujourd’hui la décision relative au bouclier de protection des données UE-États-Unis.

Le nouveau cadre protège les droits fondamentaux de tout citoyen de l’UE dont les données à caractère personnel sont transférées vers les États-Unis tout en apportant de la clarté juridique aux entreprises qui ont recours à des transferts de données transatlantiques.

Andrus Ansip, vice-président de la Commission européenne chargé du marché unique numérique, a déclaré à ce propos: «Nous avons approuvé aujourd’hui le nouveau bouclier de protection des données UE-États-Unis. Ce dispositif protégera les données à caractère personnel de nos citoyens et apportera de la clarté aux entreprises. Nous avons travaillé d’arrache-pied avec l’ensemble de nos partenaires européens et américains afin de parvenir à un accord adéquat dans les plus brefs délais. Les flux de données entre nos deux continents sont essentiels pour notre société et pour notre économie. Nous disposons à présent d’un cadre solide garantissant que ces transferts se dérouleront dans des conditions optimales, y compris sur le plan de la sécurité.»

M^me Věra Jourová, commissaire européenne chargée de la justice, des consommateurs et de l’égalité des genres, a quant à elle déclaré: «Le bouclier de protection des données UE-États-Unis est un nouveau système solide destiné à protéger les données à caractère personnel des Européens et à procurer une sécurité juridique aux entreprises. Il prévoit des normes renforcées en matière de protection des données, assorties de contrôles plus rigoureux visant à en assurer le respect, ainsi que des garanties en ce qui concerne l’accès des pouvoirs publics aux données et des possibilités simplifiées de recours pour les particuliers en cas de plainte. Le nouveau cadre rétablira la confiance des consommateurs dans le contexte du transfert transatlantique de données les concernant. Nous avons travaillé de concert avec les autorités européennes de protection des données, le Parlement européen, les États membres et nos homologues américains afin de mettre en place un dispositif reposant sur les normes les plus élevées en vue de protéger les données à caractère personnel des Européens.»

Le bouclier de protection des données UE-États-Unis est fondé sur les principes suivants :

• des obligations strictes pour les entreprises qui traitent des données : dans le cadre du nouveau dispositif, le ministère américain du commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller à ce qu’elles observent les règles auxquelles elles ont souscrit. Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s’exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif. Grâce au durcissement des conditions applicables au transfert ultérieur de données à des tiers, le même niveau de protection sera assuré en cas de transfert de ce type par une entreprise participante;

• un accès des pouvoirs publics américains soumis à des conditions claires et à des obligations de transparence: les États-Unis ont donné à l’Union européenne l’assurance que l’accès des pouvoirs publics aux données à des fins d’ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. De même, tous les citoyens de l’Union bénéficieront pour la première fois de mécanismes de recours dans ce domaine. Les États-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire dans le cadre du bouclier de protection des données UE-États-Unis. Le cabinet du directeur du renseignement national a également précisé que le recours à la collecte de données en vrac serait soumis à certaines conditions préalables et que cette collecte devrait être aussi ciblée et précise que possible. Il a détaillé les garanties mises en place pour l’utilisation de données dans de telles circonstances exceptionnelles. Le secrétaire d’État américain a instauré une possibilité de recours pour les Européens dans le domaine du renseignement national en créant un mécanisme de médiation au sein du département d’État;

• une protection effective des droits individuels: tout citoyen estimant que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du bouclier de protection des données bénéficiera de plusieurs mécanismes accessibles et abordables de règlement des litiges. Idéalement, l’entreprise elle-même donnera suite à la plainte ou des solutions gratuites de règlement extrajudiciaire des litiges seront proposées. L’intéressé pourra également s’adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l’Union soient examinées et réglées. Lorsqu’un litige n’aura pas été réglé par l’un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort. La possibilité d’un recours dans le domaine de la sécurité nationale ouvert aux citoyens de l’UE passera par un médiateur indépendant des services de renseignement des États-Unis;

• un mécanisme de réexamen annuel conjoint : ce mécanisme permettra de contrôler le fonctionnement du bouclier de protection des données, et notamment le respect des engagements et des assurances concernant l’accès aux données à des fins d’ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels y associeront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. La Commission s’appuiera sur toutes les autres sources d’information disponibles et adressera un rapport public au Parlement européen et au Conseil.

Depuis la présentation du projet de bouclier de protection des données en février, la Commission a tenu compte de l’avis des autorités européennes de protection des données (le groupe de travail «article 29»), du point de vue du Contrôleur européen de la protection des données et de la résolution du Parlement européen pour y apporter un certain nombre de clarifications et d’améliorations. La Commission européenne et les États-Unis se sont notamment mis d’accord sur de nouvelles précisions concernant la collecte de données en vrac, sur le renforcement du mécanisme de médiation et sur des obligations plus explicites pour les entreprises en ce qui concerne les limites applicables à la conservation et au transfert ultérieur des données.

Prochaines étapes : la décision constatant le caractère adéquat du niveau de protection sera notifiée aujourd’hui aux États membres et entrera en vigueur immédiatement. Aux États-Unis, les textes relatifs au bouclier de protection des données seront publiés au Federal Register, l’équivalent de notre Journal officiel. Le ministère américain du commerce mettra le bouclier de protection des données en service. Dès que les entreprises auront eu l’occasion d’examiner le cadre et de se mettre en conformité, elles pourront obtenir une certification auprès du ministère du commerce à partir du 1^er août. Parallèlement, la Commission publiera un guide succinct à l’intention des citoyens, leur expliquant les possibilités de recours au cas où ils estimeraient que des données à caractère personnel les concernant ont été utilisées sans qu’il soit tenu compte des règles en matière de protection des données.

Contexte

Le 2 février 2016, la Commission européenne et le gouvernement des États-Unis sont parvenus à un accord politique sur un nouveau cadre pour les échanges transatlantiques de données à caractère personnel à des fins commerciales: le bouclier de protection des données UE-États-Unis (voir le document IP/16/216). La Commission a présenté le projet de décision le 29 février 2016. À la suite de l’avis rendu le 13 avril par le groupe de travail «article 29» (constitué des autorités de protection des données) et de la résolution adoptée le 26 mai par le Parlement européen, la Commission a clôturé la procédure d’adoption le 12 juillet 2016.

Le bouclier de protection des données UE-États-Unis tient compte des exigences énoncées par la Cour de justice de l’Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la sphère de sécurité.

Pour en savoir plus

Décision constatant le caractère adéquat du niveau de protection

Annexes

Questions et réponses

Fiche d’information

Communication intitulée «Flux de données transatlantiques: rétablir la confiance grâce à des garanties solides»

IP/16/2461

Voir aussi : Communiqué de presse Bruxelles, le 29 février 2016 : La Commission européenne a présenté aujourd’hui les documents juridiques qui instaureront le «bouclier de protection des données UE-États-Unis».

→ A peine adopté, l’accord Privacy Shield sur les données personnelles est déjà menacé