Bouclier de protection des données UE-États-Unis

Le bouclier de protection des données UE-États-Unis (en anglais : EU-US Privacy Shield) est un accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis d'Amérique. Il n'est plus reconnu comme offrant une protection adéquate depuis le 16 juillet 2020, et ne peut donc plus servir de fondement à un transfert de données personnelles de l'Espace économique européen vers les États-Unis d'Amérique

Description[modifier | modifier le code]

Il se compose d'une série d'engagements de la part du gouvernement fédéral des États-Unis et une décision de la Commission européenne^[1]. La Commission a accepté, le 12 juillet 2016, ces dispositions relatives à la protection de la vie privée car elles correspondent au même niveau de protection des données appliqué en Union européenne.

Cet accord ne constitue pas un traité international, mais se compose d'une série de dispositions, qui réglemente la protection des données personnelles, qui sont transférées depuis un État membre de l'Union européenne vers les États-Unis. Il était devenu indispensable à la suite de l'invalidation du Safe Harbor par la Cour de justice de l'Union européenne, en octobre 2015^[2].

Histoire[modifier | modifier le code]

En octobre 2015, la Cour européenne de justice a déclaré que l'accord, appelé Safe Harbor était invalide. Peu après cette décision, la Commission européenne et le gouvernement des États-Unis ont entamé des discussions au sujet d'un nouveau cadre et le 2 février 2016, ils ont trouvé un accord politique. La Commission européenne a publié un projet de « décision », déclarant une équivalence de protections couvertes par le droit de l'U.E^[3].

Une condition préalable était cependant nécessaire : la Loi sur la réparation judiciaire. Une fois signée par le président américain Barack Obama le 25 février 2016, cette loi permet aux citoyens de l'Espace économique européen (EEE) d'intenter une action aux États-Unis, lors d'une violation du droit de la protection des données personnelles.

Un premier lot de textes, entérinant la décision d’adéquation contenant des règles juridiques européennes a été publié le 29 février 2016.

Le G29, Groupe de travail Article 29 sur la protection des données, a rendu un avis le 13 avril 2016^[4], indiquant que le UE-US Privacy Shield offre d'importantes améliorations par rapport aux décisions du Safe Harbour, mais que les trois points majeurs de préoccupation demeurent. Ils ont trait à la suppression des données, la collecte de quantités massives de données, et la clarification sur les pouvoirs et l'indépendance du médiateur (Ombudsperson).

Le Contrôleur européen de la protection des données (EDPS en anglais), Giovanni Buttarelli, a rendu un avis le 30 mai 2016, où il a déclaré : « La proposition du Privacy Shield est un pas dans la bonne direction, mais ne prend pas suffisamment en compte, dans sa rédaction actuelle, de notre point de vue, toutes les garanties appropriées pour protéger le droit européen des individus à la vie privée et à la protection des données notamment en ce qui concerne le recours juridictionnel. Des améliorations significatives sont nécessaires dans l'hypothèse où la Commission européenne souhaiterait adopter cette décision d'adéquation ^[5] ».

Le 8 juillet 2016, la version finale du Privacy Shield a été approuvée par la plupart des États membres de l'U.E. à l'exception de l'Autriche, la Croatie, la Slovénie et la Bulgarie, ouvrant la voie à l'adoption par la Commission européenne.

La Commission a adopté la décision le 12 juillet 2016^[6], en stipulant que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-États-Unis protègent selon les normes de protection des données dans l'U.E. ».

Le 25 octobre 2016, plusieurs associations françaises dont la Quadrature du net ont déposé un recours^[7] devant le Tribunal de l'Union européenne pour annuler cet accord. Elles considèrent qu'il permet des collectes massives et systématiques de données personnelles par les autorités américaines au-delà du strict nécessaire, et qu'il ne sera pas possible pour un citoyen européen d'accéder à un recours juridictionnel effectif.

Règles[modifier | modifier le code]

Le Privacy Shield est à la fin de février 2016 une version d'un package publié conformément à la réglementation. L'accord, lui-même une «décision d'adéquation» de la Commission européenne et d'autres textes, doit être incorporé dans le processus législatif européen. Incluant des principes de protection des données à suivre par les entreprises américaines, ainsi que des garanties écrites du gouvernement américain, qui seront publiées dans le registre Fédéral. Ces garanties incluent des garanties et des restrictions sur l'accès aux données par les autorités.

Les entreprises américaines s'engagent à respecter ces obligations pour être inscrites dans la liste des entreprises certifiées, comme précédemment avec la liste du « Safe Harbor ».

Les États-Unis ont assuré à la Commission européenne de procéder à des mesures de contrôles efficaces contre les entreprises sous peine de sanctions allant jusqu'à leur suppression dans la liste des entreprises bénéficiaires. La divulgation de données à des tiers est désormais liée par des exigences plus strictes.

En outre, la Commission européenne a déclaré que le gouvernement américain a promis par écrit à l'Union européenne (UE) par l'intermédiaire du Bureau du directeur des services de renseignement que l'accès aux données personnelles des citoyens de l'UE ne sont que pour des raisons de sécurité nationale (restrictions claires, des garanties et des mécanismes de contrôle). Les citoyens de l'UE peuvent saisir un médiateur (ombudsperson), dans le Département d’État pour enquêter sur les violations et déterminer si une entreprise agit illégalement. Toutes les informations écrites et les explications du médiateur seront publiées dans le Registre fédéral (en).

Les revendications des citoyens de l'UE sont également admises à l'instar des entreprises américaines. Les plaintes doivent assigner l'entreprise dans les 45 jours. En cas de litige, il y a une méthode de règlement des différends. En outre, les citoyens peuvent, alors se tourner vers les autorités nationales de protection des données qui agissent avec la coopération de la commission des plaintes Federal Trade. Les entreprises de traitement des données personnelles doivent être conformes aux recommandations des autorités nationales de protection des données des États membres de l'UE ; d'autres entreprises peuvent volontairement être concernées par ce sujet.

La Commission européenne doit préparer annuellement un rapport sur le retour d'expérience du Privacy Shield et le transmettre au Parlement européen et au Conseil européen. Cet audit mandaté par la Commission est réalisé en coopération avec le département du Commerce américain ainsi que des experts des services de renseignements américains et les autorités européennes de protection des données avec le concours des organisations non-gouvernementales et d'« autres tiers intéressés », tous conviés lors d'un congrès sur la vie privée^[8].

Avis[modifier | modifier le code]

L'accord — la presse américaine a parlé d'un « deal » — a fait l'objet, dès le début, de critiques considérables. Max Schrems, l'avocat autrichien pourfendeur du Safe Harbor, avance ses arguments pour invalider le Privacy Shield à l'occasion du Cloud Independance Day juste avant sa ratification. Effectivement, il dénonce l'utilisation des données personnelles sur le plan commercial et souligne que les sociétés européennes continuent à ne pas disposer des mêmes droits que les sociétés américaines. De plus, il doute de l'impartialité du médiateur désigné et régi par le ministère des Affaires étrangères américaines. Max Schrems souligne que le problème perdure au regard de la surveillance de masse car le texte ne relève aucun changement et rappelle les six exceptions au texte : « La détection et la lutte à certaines activités de puissances étrangères, l’anti-terrorisme, la lutte contre la prolifération nucléaire, la cyber sécurité, la détection et la lutte contre les menaces visant les États-Unis et les forces armées alliées et, enfin, la lutte contre les menaces de crimes transnationaux », alors que cela est contraire à la jurisprudence rendue par la cour de justice de l'Union européenne.

Les entreprises françaises sont soumises à plusieurs règlementations dans le domaine de la protection des données personnelles ; le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), la surveillance de l'autorité des marchés financiers et le règlement européen sur les données personnelles (GDPR) en 2018 imposent des sanctions graves en cas de non-respect des règlementations à l'instar du Privacy Shield.

Le Groupe de travail Article 29 par sa présidente Isabelle Falque-Pierrotin, déclare lors de la conférence de presse à Bruxelles, le 13 avril 2016, que le Privacy Shield constitue un « progrès majeur » pour la protection des données personnelles mais toutefois émet des réserves. Le G29 demande des clarifications sur certains sujets : « Il est difficile de comprendre tous les documents et les annexes. Il n’y a pas un seul document, mais plusieurs, ainsi que des annexes et des courriers. Certains se contredisent^[9] ». Elle précise que le sujet sur la surveillance en masse des données par les agences de renseignements américaines, qui avait permis d'invalider le Safe Harbor est possible dans le cadre du Privacy Shield. Une décision doit être rendue par la Cour de justice de l'Union européenne d'ici à la fin de l'année 2016 pour clarifier ce point.

Le G29 estime ne pas avoir eu suffisamment de garanties sur les droits, les pouvoirs et le recours de l'ombudsman.

Le Conseil national du numérique (CNNum) s'est également associé aux vives inquiétudes exprimées par le G29, la délégation de la commission des libertés civiles du Parlement européen et un grand nombre d’associations de défense des droits^[10].

Disparition du Privacy Shield[modifier | modifier le code]

Le 16 juillet 2020, dans la décision C311-18^[11], la Cour de justice de l'Union européenne, annule la décision de la Commission européenne de reconnaitre une protection adéquate au Privacy Shield. Cette décision est prise dans le cadre de questions préjudicielles posées par la Haute Cour d'Irlande (en) à la Cour de Justice de l'Union Européenne sur onze points d'interprétation de la réglementation communautaire. Ces points d'interprétations concernaient un litige opposant le Data Protection Commissioner (en) à Facebook Ireland Ltd et à Maximillian Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données à caractère personnel par Facebook Ireland à Facebook Inc. aux États-Unis.

En mars 2022, l'Union européenne et les États-Unis sont parvenus à un « accord de principe » sur un nouveau cadre^[12]^,^[13].

Le Data Privacy Framework (DPF) ou le Trans-Atlantic Data Privacy Framework (littéralement le Cadre de protection des données UE - États-Unis) est le nouveau système d'échange de données entre les États-Unis et l'Europe qui succède au Privacy Shield. Il est construit entre l'Union européenne et les États-Unis à partir de 2022 et il est mis en place par Décision d'exécution (UE) no 2023/1795 de la Commission du 10 juillet 2023 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE - États-Unis.

Notes et références[modifier | modifier le code]

↑ « Commission européenne - Communiques de presse - Communiqué de presse - La Commission européenne présente le paquet « bouclier de protection des données UE-États-Unis » : des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données », sur europa.eu (consulté le 15 septembre 2016).
↑ « EUR-Lex - 62014CJ0362 - EN - EUR-Lex », sur eur-lex.europa.eu (consulté le 15 septembre 2016).
↑ « Invalidation du « safe harbor » par la Cour de justice de l’Union européenne : une décision clé pour la protection des données | CNIL », sur cnil.fr (consulté le 15 septembre 2016).
↑ « [Communiqué G29] Publication de l’avis du G29 sur l’accord Privacy Shield | CNIL », sur cnil.fr (consulté le 15 septembre 2016).
↑ « Europe : Le contrôleur européen de la protection des données demande des améliorations « significatives » du Privacy Shield », sur Les Échos (consulté le 15 septembre 2016).
↑ « Adoption de la décision d’adéquation du Privacy Shield par la Commission européenne | CNIL », sur cnil.fr (consulté le 15 septembre 2016).
↑ « Recours introduit le 25 octobre 2016 — La Quadrature du Net e.a./Commission (Affaire T-738/16) », sur eur-lex.europa.eu.
↑ Francis Donnat, Droit européen de l'internet : réseaux, données, services, Issy-les-Moulineaux, LGDJ, 2018, 208 p. (ISBN 978-2-275-06118-4), p. 115 et s.
↑ Martin Untersinger, « Accord « Privacy shield » : les CNIL européennes saluent un « progrès » mais réclament des améliorations », Le Monde.fr,‎ 13 avril 2016 (ISSN 1950-6244, lire en ligne, consulté le 15 septembre 2016).
↑ « Pourquoi le Privacy Shield doit être renégocié | CNNum | Traducteur et éclaireur des transformations numériques », sur cnnumerique.fr (consulté le 16 avril 2018).
↑ « CURIA - Documents », sur curia.europa.eu (consulté le 16 juillet 2020).
↑ https://www.usine-digitale.fr/article/les-etats-unis-et-l-europe-trouvent-un-accord-sur-le-transfert-de-donnees-outre-atlantique.N1800372
↑ https://www.droit-technologie.org/actualites/un-nouvel-accord-pour-le-transfert-des-donnees-vers-les-etats-unis/

Portail du droit

[1] « Commission européenne - Communiques de presse - Communiqué de presse - La Commission européenne présente le paquet « bouclier de protection des données UE-États-Unis » : des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données », sur europa.eu (consulté le 15 septembre 2016).

[2] « EUR-Lex - 62014CJ0362 - EN - EUR-Lex », sur eur-lex.europa.eu (consulté le 15 septembre 2016).

[3] « Invalidation du « safe harbor » par la Cour de justice de l’Union européenne : une décision clé pour la protection des données | CNIL », sur cnil.fr (consulté le 15 septembre 2016).

[4] « [Communiqué G29] Publication de l’avis du G29 sur l’accord Privacy Shield | CNIL », sur cnil.fr (consulté le 15 septembre 2016).

[5] « Europe : Le contrôleur européen de la protection des données demande des améliorations « significatives » du Privacy Shield », sur Les Échos (consulté le 15 septembre 2016).

[6] « Adoption de la décision d’adéquation du Privacy Shield par la Commission européenne | CNIL », sur cnil.fr (consulté le 15 septembre 2016).

[7] « Recours introduit le 25 octobre 2016 — La Quadrature du Net e.a./Commission (Affaire T-738/16) », sur eur-lex.europa.eu.

[8] Francis Donnat, Droit européen de l'internet : réseaux, données, services, Issy-les-Moulineaux, LGDJ, 2018, 208 p. (ISBN 978-2-275-06118-4), p. 115 et s.

[9] Martin Untersinger, « Accord « Privacy shield » : les CNIL européennes saluent un « progrès » mais réclament des améliorations », Le Monde.fr,‎ 13 avril 2016 (ISSN 1950-6244, lire en ligne, consulté le 15 septembre 2016).

[10] « Pourquoi le Privacy Shield doit être renégocié | CNNum | Traducteur et éclaireur des transformations numériques », sur cnnumerique.fr (consulté le 16 avril 2018).

[11] « CURIA - Documents », sur curia.europa.eu (consulté le 16 juillet 2020).

[12] ttps://www.usine-digitale.fr/article/les-etats-unis-et-l-europe-trouvent-un-accord-sur-le-transfert-de-donnees-outre-atlantique.N1800372

[13] ttps://www.droit-technologie.org/actualites/un-nouvel-accord-pour-le-transfert-des-donnees-vers-les-etats-unis/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]