L’invalidation du Safe Harbour par la CJUE, aux termes de son arrêt du 6 octobre
- le Safe Harbour s’appliquait aux organisations auto-certifiées aux États-Unis sans que les autorités américaines soient tenues par ce dispositif ;
- les exigences relatives à la sécurité nationale, l’intérêt public et le respect des lois des États-Unis primaient sur les principes du Safe Harbour ;
- seules les informations dites sensibles étaient visées par le Safe Harbour, et encore fallait-il que l’ingérence dans le droit fondamental au respect de la vie privée constitue un inconvénient pour les intéressés ;
- une protection juridique efficace était absente, en particulier au regard des ingérences résultant de mesures étatiques. L’arbitrage privé et les procédures devant la Commission fédérale du commerce sont en effet limités aux litiges commerciaux ;
- une dérogation à la protection des données personnelles doit s’opérer dans les limites du strict nécessaire. Or l’absence de critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation à des fins précises, strictement restreintes, ne permettait pas de remplir cette condition.
Il appartiendra donc à une autorité nationale de protection des données qui serait saisie d’une réclamation, de l’instruire afin d’identifier si les avancées faites aux termes du Privacy Shield en matière de protection des données personnelles sont suffisantes.
I. Les avancées du Privacy Shield
Une auto-certification auprès du ministère américain du commerce
Le Privacy Shield, tout comme le Safe Harbor, repose sur un système d’auto-certification. Cet accord s’applique aux organisations situées aux États-Unis qui ont auto-certifié auprès du ministère du commerce américain leur adhésion aux principes du Privacy Shield visés à l’annexe II de la décision 2016/1250. Les données personnelles transmises à partir de l’Union européenne à une organisation américaine ayant adhéré aux principes du Privacy Shield sont ainsi protégées, étant précisé que ce bouclier s’applique tant aux responsables de traitement qu’aux sous-traitants qui doivent être liés contractuellement aux
Ce dispositif sera géré et contrôlé par le ministère du Commerce américain, conformément aux engagements pris par le secrétaire d’État au
Les principes de protection de la vie privée
Ces principes marquent une amélioration de la protection des données des citoyens européens. Ils sont visés à l’article 2.1 de la décision.
Le principe de « notification »
Les organisations doivent fournir aux personnes concernées des informations quant au traitement de leurs données (notamment le type de données, la finalité du traitement, le droit d’accès et de choix, les conditions applicables aux transferts ultérieurs).
Le principe « intégrité des données et limitation des finalités »
Les données à caractère personnel doivent se limiter à ce qui est pertinent aux fins du traitement et être fiables au regard de l’utilisation prévue, exactes, exhaustives et actuelles. Le traitement des données ne doit pas être incompatible avec la finalité pour laquelle elles ont été initialement collectées et, en cas de finalité différente mais pas incompatible, le principe « choix » permet aux personnes concernées de s’opposer au traitement. En tout état de cause, la conservation des données à caractère personnel ne peut être effectuée qu’aussi longtemps que leur utilisation reste conforme à cette finalité.
Le principe « sécurité »
Des mesures de sécurité « raisonnables et adéquates » sont requises, les sous-traitants devant être tenus contractuellement d’assurer le même niveau de protection.
Le principe « accès »
Les personnes concernées doivent pouvoir corriger, modifier ou supprimer les informations à caractère personnel si elles sont inexactes ou traitées en violation des principes de Privacy Shield. Dans la mesure où le recours au traitement automatisé de données est de plus en plus fréquent, la décision 2016/1250 précise que ce domaine doit faire l’objet d’une étroite surveillance et d’un dialogue dans le cadre du premier examen annuel de l’application du Privacy Shield ainsi que le cas échéant des examens ultérieurs.
Le principe « voies de recours, application et responsabilité »
Les organisations ayant adhéré aux principes du Privacy Shield doivent chaque année recertifier leur participation au bouclier et s’assurer de la mise en œuvre de ces principes. À cet effet, soit elles mettent en place un système d’auto-évaluation comprenant des procédures internes en matière de formation des salariés et de contrôle de la bonne application de ces principes, soit elles organisent un contrôle extérieur fondé sur des audits ou des vérifications aléatoires. Les réclamations doivent aussi être traitées (VOIR CI-APRÈS) et chaque organisation est soumise aux pouvoirs d’enquête et d’exécution de la « Federal Trade Commission » ou du ministère du transport américain.
Le principe « responsabilité en cas de transfert ultérieur »
Tout transfert ultérieur de données personnelles ne peut être effectué qu’à des fins limitées et spécifiques, sur la base d’un contrat ou d’un « dispositif comparable » en cas de transfert intragroupe permettant un niveau de protection identique à celui du bouclier. L’application des principes de protection de la vie privée ne peut être limitée que dans la mesure nécessaire à la sécurité nationale, au respect de la loi ou à d’autres intérêts
La transparence dans la gestion du Privacy Shield
Le ministère américain du commerce s’est engagé à tenir et à rendre publique sur un site web dédié une liste des organisations ayant auto-certifié leur adhésion aux principes du Privacy
Les mécanismes de recours
Ils sont visés à l’article 2.3 de la décision. Plusieurs possibilités sont offertes aux personnes qui souhaitent effectuer une réclamation.
Une première possibilité consiste à s’adresser à l’organisation américaine auto-certifiée. Celle-ci doit fournir, dans un délai de 45 jours, une réponse comprenant une appréciation du bien-fondé de la réclamation et le cas échéant des informations quant à la résolution du problème.
Une deuxième possibilité tient à l’exercice d’un recours devant une autorité indépendante qui peut relever de l’ADR (Alternative Dispute Resolution), ou une autorité nationale de protection des données. Les organisations américaines sont tenues de coopérer à l’enquête menée par cette autorité et le fait que la réclamation puisse être faite dans la langue de la personne concernée en facilite l’exercice.
La réclamation peut aussi être effectuée auprès du ministère américain du commerce, mais uniquement par l’intermédiaire d’une autorité nationale de protection des données.
De même, la « Federal Trade Commission » peut être saisie par les organismes de règlement des litiges indépendants, les organismes d’autoréglementation, le ministère du commerce ou les autorités nationales de protection des données agissant de leur propre initiative ou suite à une réclamation.
En dernier ressort, si aucune des autres voies de recours n’a permis de traiter de façon définitive la réclamation, celle-ci peut faire l’objet d’un arbitrage contraignant par le « panel du bouclier de protection des données ». Ce panel sera composé d’au moins vingt arbitres désignés par le ministère du commerce et la Commission européenne.
Par ailleurs, la violation par une organisation de ses engagements aux termes du Privacy Shield peut éventuellement faire l’objet d’un recours devant les juridictions étatiques américaines, en vertu de la législation de ces états sur le fondement de la responsabilité délictuelle, dans les cas de dol, de pratiques déloyales ou frauduleuses ou de rupture de contrat.
Le contrôle de l’accès par les autorités publiques américaines aux données personnelles transférées dans le cadre du Privacy Shield
Le cadre juridique aux États-Unis de l’utilisation des données personnelles à des fins de sécurité nationale a été renforcé par le décret présidentiel
D’après la Commission européenne, cette pratique répondrait à l’exigence posée dans l’arrêt de la CJUE du 6 octobre 2015 selon laquelle une dérogation à la protection des données personnelles doit s’opérer dans les limites du strict
Des recours individuels sont ouverts aux personnes de l’Union européenne qui voudraient s’assurer que les limitations en vigueur en droit américain pour le traitement des données personnelles sont bien respectées. Le Judicial Redress Act a ainsi été adopté en février 2016. Il permet l’exercice de recours juridictionnels aux États-Unis, par des citoyens de l’Union européenne, sur le fondement du Privacy Act de 1974. Le gouvernement américain a communiqué à la Commission européenne des voies de recours dans trois
Les réclamations individuelles sont adressées aux autorités de contrôle chargées, dans les États membres, de la surveillance des services de sécurité nationale et/ou du traitement des données personnelles. Ces autorités pourront présenteront les réclamations à un organisme européen centralisé qui les réorientera vers le médiateur.
Le réexamen périodique de la constatation du niveau adéquat de la protection des données
Les États-Unis se sont engagés à informer la Commission européenne de toute évolution importante de la législation américaine susceptible d’influer sur le dispositif du Privacy Shield, en particulier concernant l’accès par les autorités publiques aux données personnelles des citoyens.
En outre, un réexamen conjoint annuel du dispositif du bouclier de protection des données sera mené. Tous les aspects de son fonctionnement seront revus chaque année.
II. Les insuffisances du Privacy Shield
Les insuffisances du Privacy Shield, ou les inquiétudes que son application peut susciter, ont été mises en exergue en particulier par
- la valeur normative du Privacy Shield suscite des interrogations dans la mesure où les renvois aux annexes sont essentiels et plusieurs d’entre elles sont des lettres d’engagement de responsables d’une administration présidentielle en fin de mandat ;
- la collecte en vrac de renseignements d’origine électromagnétique par les services américains de sécurité nationale n’est pas prohibée et il est possible de s’interroger sur le point de savoir si cette collecte sera faite dans les limites du strict nécessaire conformément aux engagements pris ;
- si le médiateur du bouclier de protection des données est bien indépendant des services de renseignement américains, il rapporte au secrétaire d’État et son indépendance est donc relative ;
- les entreprises de télécommunication et les fournisseurs d’accès à internet sont exclus du champ d’application du Privacy Shield dans la mesure où ils dépendent de la Commission fédérale pour la communication (« FCC ») et non pas de la FTC. Or, les activités de communications et celles liées aux contenus numériques tendent à converger. Des domaines entiers du traitement de données personnelles pourraient ainsi ne pas être protégés ;
- le Privacy Shield vise les principes de protection de la directive 95/46/CE alors même que le règlement 2016/679/UE du 27 avril 2016 entrera en vigueur en mai 2018 et prévoit un niveau d’exigence supérieur pour la protection des données. Il aurait été préférable d’anticiper cette évolution.