Privacy Shield, quel état des lieux ?

Avec l’entrée en vigueur le 25 mai 2018 du RGPD (Règlement Général sur la Protection des Données), la protection des données personnelles est devenue un sujet important et préoccupant pour toutes les entreprises.

Ce texte a pratiquement fait oublier l’accord majeur de 2016 conclu entre l’Union Européenne (UE) et les Etats-Unis concernant le transfert des données personnelles : le Privacy Shield ou Bouclier de Protection des Données.

Alors, qu’est-ce que le Privacy Shield ?

Afin de répondre aux échanges commerciaux et par extension aux transferts de données entre l’Union Européenne (UE) et les Etats-Unis, le « Bouclier de protection des données UE-Etats-Unis» ou le « EU-U.S. Privacy Shield » a vu le jour. Depuis 1er août 2016, le Privacy Shield a pour but d’encadrer le transfert des données personnelles vers les États-Unis. Une entreprise souhaitant recourir à une autre entreprise établie aux États-Unis doit vérifier si elle remplit bien les conditions établies par l’administration américaine. Le Privacy Shield a remplacé le « Safe Harbor », invalidé par la Cour de justice de l’Union Européenne (UE), le 6 octobre 2015. Cette nouvelle version n’a pas toutefois réglé tous les problèmes que le précédent accord soulevait comme le fait de reposer sur de l’auto-déclaration et les différences dans la surveillance, le traitement, l’exploitation des données personnelles outre atlantique.

Le « Privacy Shield » est un mécanisme d’auto-certification pour les entreprises établies aux Etats-Unis ;  il a été reconnu par la Commission européenne comme celui offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers  des entreprises établies aux Etats-Unis, selon la CNIL.

Une autorisation de transfert des données personnelles de l’Union Européenne (UE) vers les Etats-Unis est accordée à condition que la société recevant ces données les traite en respectant un ensemble de règles et de garanties, et cela même si les données personnelles ne concernent pas des citoyens de l’Union Européenne (UE).

Comment le Privacy Shield fonctionne-t-il ?

Pour encadrer les transferts des données à caractère personnel depuis l’Union Européenne vers les Etats-Unis, différents outils sont disponibles, tels que des clauses contractuelles, des règles d’entreprise contraignantes ou le Privacy Shield depuis le 1er août 2016.

Pour utiliser le Privacy Shield, les entreprises américaines doivent d’abord adhérer à ce système auprès du ministère américain du commerce qui est chargé de sa gestion et de son administration mais aussi de veiller à ce que les entreprises respectent leurs engagements.

Les entreprises s’engagent à respecter les grands principes suivants :

• Le droit d’être informé ;
• Limitations applicables à l’utilisation des données à différentes finalités ;
• Minimisation des données et obligation de conserver des données uniquement pendant le temps nécessaire ;
• Obligation d’assurer la sécurité de des données ;
• Obligation de protéger des données si elles sont transférées à une autre société ;
• Le droit d’accéder à des données et de les rectifier ;
• Le droit d’introduire une réclamation et d’obtenir réparation.

Comme dit plus haut, le Privacy Shield repose sur de l’auto-déclaration, pour être certifié, une entreprise a seulement à remplir un questionnaire. Les entreprises adhérentes doivent renouveler leurs adhésions (engagements) au Privacy Shield tous les ans. La liste des entreprises bénéficiant ou ayant bénéficié du Privacy Shield  est disponible publiquement.

Le Privacy Shield prévoit des mécanismes de gestion des réclamations (Principe N°7) ; un résident européen peut introduire des réclamations à l’encontre d’une société adhérant au bouclier de protection des données auprès :

• De la société elle-même ;
• Un organisme d’ADR (Alternative Dispute Resolution) indépendant ;
• Autorité nationale chargée de la protection des données (DPA : Data Protection Authority), CNIL en France ;
• Ministère américain du commerce ;
• Commission fédérale du commerce ;
• Comité (d’arbitrage) du bouclier de protection des données sous certaines conditions.

Quid de l’accès des autorités américaines

En ce qui concerne la sécurité nationale aux Etats-Unis, le Privacy Shield instaure un nouveau mécanisme de recours indépendant en faisant appel à un Médiateur ou « Ombudsperson » ; cette prise de décision a été saluée par le G29 (Comité des CNIL Européennes) dans son communiqué du 13 avril 2016.

Dans les faits, le Médiateur est un haut fonctionnaire du Département d’État américain qui est indépendant des agences de renseignement et dont le rôle et de veiller à ce que les réclamations soient dûment examinées et traitées. Il se charge de confirmer que les lois applicables aux Etats-Unis soient respectées et si ce n’est pas le cas il remédie à la situation.

Ce mécanisme n’est pas propre au bouclier de protection des données. Il s’applique à toutes les réclamations relatives aux données à caractère personnel et à tous les types de transferts commerciaux depuis l’Union Européenne (UE) vers des entreprises établies aux Etats-Unis. Les étrang. Le Privacy Shield ne protège donc pas contre l’accès des autorités américaines aux données transférées aux Etats-Unis.

Successeur du Safe Harbor, le Privacy Shield encadre les échanges transatlantiques de données à caractère personnel à des fins commerciales depuis le 1er août 2016. Un premier rapport annuel sur le fonctionnement du dispositif a été rendu public le 18 octobre 2017 par la Commission européenne. Il explique que le Privacy Shield continue de garantir un niveau de protection adéquat des données à caractère personnel transférées de l’Union vers les entreprises participantes aux États-Unis. Il reste tout de même des points d’améliorations tels que le suivi du traitements des données personnelles ou celui des sociétés auto-certifiées.