Le Privacy Shield vient d’être adopté ce 12 juillet 2016 et remplace le Safe Harbor. Découvrez ses principales avancées ?

Le 12 juillet 2016, l’Union Européenne (UE) et les Etats-Unis ont entériné l’adoption du Privacy Shield, un nouveau mécanisme de transferts de données personnelles entre l’Europe et les Etats-Unis. Par sa décision d’adéquation, la Commission Européenne reconnait que le Privacy Shield assure un niveau de protection adéquat selon les règles applicables aux transferts internationaux de données personnelles sous la Directive 95/46/CE.  Le Privacy Shield est donc considéré par la Commission Européenne comme présentant des garanties suffisantes pour transférer des données entre l’UE et les Etats-Unis.

Les entreprises américaines pourront commencer à certifier leur adhérence au Privacy Shield auprès du Département du Commerce américain à partir du 1er aout 2016. L’adoption du Privacy Shield était très attendue de part et d’autre de l’océan Atlantique à la suite de l’invalidation du Safe Harbor par la Cour de Justice de l’Union Européenne (CJUE) en octobre 2015 dans l’affaire Schrems [insertion Lien vers article Schrems].

 

I. Principes clés du Privacy Shield

Le Privacy Shield est basé sur les principes du Safe Harbor. Il comprend néanmoins d’importantes nouvelles restrictions et met en place de nouveaux mécanismes de recours juridictionnel pour les citoyens européens. Le Privacy Shield inclut également des engagements de la part du gouvernement américain concernant l’accès des autorités publiques américaines aux données personnelles en provenance de l’UE.  Ci-dessous, vous trouverez une liste non-exhaustive des évolutions majeures apportées par le Privacy Shield :

  • Une obligation d’information détaillée. Dans ses annexes, le Privacy Shield liste les 13 types d’information qui doivent se trouver dans les politiques de confidentialité des entreprises sous certification.
  • Le droit d’opposition renforcé. Les individus doivent pouvoir s’opposer à la communication de leurs données à des tiers ou à une utilisation de ces données pour une finalité “matériellement différente” de la finalité pour laquelle elles ont été collectées.
  • Des obligations accrues pour les transferts ultérieurs de données. Les transferts ultérieurs doivent faire l’objet d’un contrat, lequel doit inclure des obligations et restrictions spécifiques.  Ces obligations et restrictions divergent selon que le destinataire des données agit en tant que responsable de traitement ou sous-traitant.
  • Qualité des données et finalités de traitement. Les entreprises certifiées doivent se limiter à traiter les données qui sont adéquates, pertinentes et non excessives pour les finalités du traitement et ne les traiter que pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités de collecte.
  • Droit des individus. Le Privacy Shield opère un rapprochement avec les droits des personnes concernée en droit européen, notamment le droit d’accès aux données. Les personnes concernées peuvent également demander des informations à l’entreprise à l’origine d’une décision produisant des effets juridiques à leur égard et qui a été prise sur le seul fondement d’un traitement automatisé de données (par exemple, certaines décisions de crédit).
  • Divers moyens de recours. Les personnes concernées pourront bénéficier de différents moyens de recours contre les entreprises certifiées Privacy Shield.  Il sera notamment possible de déposer une plainte directement auprès de la société, ou auprès des autorités nationales de protection des données en Europe, qui travailleront en coopération avec les autorités américaines compétentes, ou encore d’utiliser un dispositif alternatif de résolution des conflits.
  • Données collectées sous certification Privacy Shield. Lorsqu’une entreprise n’utilise plus le Privacy Shield, elle est tenue de supprimer les données collectées dans le cadre de son ancienne certification ou de s’engager auprès du Département du Commerce américain à continuer d’utiliser ces données en conformité avec les principes du Privacy Shield.

Afin d’augmenter l’attrait des entreprises pour ce nouveau mécanisme de transfert de données, une période de transition est prévue dans le Privacy Shield. Toute entreprise certifiant son adhérence au Privacy Shield dans les deux mois suivant de son adoption bénéficiera de neuf mois pour se mettre en conformité avec les restrictions concernant les transferts ultérieurs et en particulier pour mettre à jour ses contrats avec des destinataires de données.

 

II. Incertitude juridique concernant les transferts internationaux de données

Avec l’adoption du Privacy Shield, les entreprises disposent d’un nouveau mécanisme de transferts de données entre l’UE et les États-Unis, ce qui est extrêmement positif pour les échanges commerciaux entre l’Europe et les Etats-Unis, puisque les données personnelles sont un élément central de notre économie digitale globalisée. Néanmoins, le Privacy Shield devrait rapidement connaître de nouvelles critiques et faire l’objet de recours devant les autorités nationales de protection de données et/ou des tribunaux nationaux.

Les entreprises concernées par les problématiques de transferts internationaux de données doivent par ailleurs s’intéresser aux suites que la High Court irlandaise va donner à la demande de l’autorité irlandaise de protection des données concernant la validité des clauses contractuelles types au regard du droit de l’Union européenne. Les clauses contractuelles types sont un important mécanisme de transferts de données massivement mis en place depuis l’affaire Schrems.  Il est vraisemblable que la High Court pose une question préjudicielle à la CJUE, laquelle sera elle-même amenée à juger de la validité des clauses contractuelles types.  Par conséquent, le contexte juridique concernant les transferts transfrontaliers de données, y compris le Privacy Shield, reste encore à ce jour très incertain, pour les entreprises exportatrices et importatrices de données.

 
 

Bibliographie :

Of Counsel
Wilson Sonsini Goodrich & Rosati, LLP
Associate
Wilson Sonsini Goodrich & Rosati, LLP
Share This