Nouveau « EU-US Privacy Shield »
pour le transfert de données à caractère
personnel de l'EU au VS

Une nouvelle proposition de “EU-US Privacy Shield” en réponse
à la préoccupation d’offrir un niveau de protection adéquat
pour le transfert de données à caractère personnel
de l’UE vers les Etats-Unis.

Le 2 février 2016, la Commission européenne a annoncé dans un communiqué qu'elle avait un nouvel accord politique avec le Département américain du Commerce qui rendait le transfert des données personnelles de l'Union européenne (UE) vers les États-Unis (USA) à nouveau possible.

Dans une analyse précédente, nous avions déjà signalé la décision “Schrems” de la Cour de justice du 6 Octobre 2015, qui a conduit à la nullité du Safe Harbor Framework entre l’UE et les États-Unis concernant le transfert de données à caractère personnel de l'UE, et les lacunes juridiques en conséquence.

Le “EU-US Privacy Shield” remplacera le «Safe Harbor Framework» et souhaite répondre aux critiques de la Cour de justice en ce qui concerne les garanties d’un niveau de protection adéquat aux États-Unis. Par conséquent, des entreprises comme Facebook ou Google, qui transfèrent des données à caractère personnel de l’UE aux États-Unis, se retrouvaient dans un vide juridique.

Vous trouverez ci-dessous les grandes lignes de ce nouvel accord :

Chaque citoyen européen qui estime qu’on abuse de ses données personnelles disposera de différents recours.

Les entreprises américaines devront respecter des délais pour répondre aux plaintes.

Les autorités européennes de protection des données pourront transmettre des plaintes au Département du Commerce et à la Federal Trade Commission, et un poste d'ombudsman, qui traitera des plaintes spécifiques des citoyens de l'UE, sera créé aux États-Unis.

Les entreprises américaines qui importent des données à caractère personnel de l’UE seront soumises à des exigences strictes sur la manière dont elles traitent les données à caractère personnel et garantissent les droits individuels tels que la protection de la vie privée.

En outre, les Etats-Unis ont donné des assurances écrites claires que l'accès des autorités américaines aux données sera limité et proportionnel.

Cet accord sera réévalué chaque année.

Cependant, il n’y a, à l’heure actuelle, aucun texte juridique disponible.

Des négociations sur la mise en œuvre de cet accord politique dans une Décision de la Commission auront lieu dans les prochaines semaines. Cela se passera en tout cas après la consultation et l'avis du groupe de travail « Article 29 », un organisme consultatif indépendant composé de représentants de toutes les autorités nationales de protection des données dans l'UE, le Contrôleur européen de la protection des données et la Commission européenne.

En principe, une mise en œuvre pourrait suivre au mois d’avril 2016.

Entre-temps, les mécanismes alternatifs de transfert de données de l'UE vers les Etats-Unis demeurent un moyen valable de transfert de données, notamment les BCR (les règles internes d'entreprise) et les CCT (clauses contractuelles types).

L’utilisation de l’ancien régime « Safe-Harbor » est déconseillée.

A suivre…

04 février 2016

Griet Verfaillie - griet.verfaillie@peeters-law.be
Jan Vanbeckevoortjan.vanbeckevoort@peeters-law.be

En savoir plus sur ce sujet: inscrivez-vous à notre Newsletter

E-mail *