En l’absence de déclaration d’adéquation pour l’ensemble du territoire des Etats-Unis, les transferts de données personnelles depuis l’Union européenne vers les USA nécessitent l’adoption de clauses contractuelles type ou le transfert vers des entreprises bénéficiant du mécanisme du Privacy Shield.
Ce mécanisme, placé sous le contrôle du département américain du commerce (Federal Trade Commission (FTC)), repose sur l’auto-certification des entreprises américaines. Cette auto-certification constitue un engagement à garantir un degré de protection des données transférées au moins identiques à celui prévu par le Règlement Général sur la Protection des Données (RGPD).
Il fait l’objet d’un contrôle annuel par la Commission européenne afin d’en vérifier les conditions de sécurité, l’application et les modes d’exercice des droits des personnes concernées.
Or, la gestion et le traitement des plaintes éventuelles étaient encore jusque récemment au cœur des demandes des Etats de l’Union européenne.
Lors de son contrôle annuel fin 2018, la Commission avait ainsi rappelé que la nomination par les Etats-Unis d’un médiateur permanent était toujours nécessaire.
Le médiateur permanent a en effet pour rôle de recevoir et d’arbitrer les plaintes émises par les personnes dont les données personnelles font l’objet d’un transfert vers les USA, y compris lorsque ce transfert donne lieu à un accès des autorités américains aux données.
La Commission reprochait à l’exécutif américain de ne pas avoir procédé à la nomination d’un médiateur permanent près de deux ans et demi après l’introduction du mécanisme.
L’absence de nomination pour une troisième année consécutive aurait pu poser la question de la pérennité du Privacy Shield. Ce mécanisme étant aujourd’hui utilisé par des centaines d’entreprises, sa remise en question aurait restreint drastiquement les possibilités de transfert de données entre l’UE et les USA.
La confirmation par le Sénat américain en juin 2019 de Keith Krach en tant que « Privacy Shield Ombudsperson », et donc, Ombudsman permanent, rattaché au département des Affaires étrangères, a permis d’aplanir ces difficultés.
Dans sa déclaration du 23 octobre 2019, la Commission européenne a fait connaitre sa satisfaction à l’annoncé de la nomination et confirme le maintien du mécanisme pour une année supplémentaire.
La Commission relève également que cette nomination s’ajoute celle de deux personnes supplémentaires aux deux postes vacants (sur cinq postes au total) au sein du Privacy and Civil Liberties Oversight Board. Or, cette agence a pour mission la surveillance du respect des droits et libertés des citoyens dans le cadre des activités de prévention du terrorisme conduites par l’exécutif américain.
Parmi les autres avancées relevées par la Commission, on retiendra également la mise en place d’une vérification mensuelle auprès d’un panel d’entreprises de leur conformité au Privacy Shield par la FTC.
En dépit de ces avancées, la Commission a établi une liste importante de progrès à réaliser, parmi lesquels : une meilleure communication de la part de la FTC envers la Commission et les autorités de protection de l’UE en cas d’enquêtes relatives à des suspicions de violation des données personnelles, une meilleure surveillance des entreprises afin d’éviter les déclarations fallacieuses de conformité et l’amélioration de l’accompagnement des entreprises en conformité traitant des données liées aux ressources humaines.
Source : EU-U.S. Privacy Shield: Third review welcomes progress while identifying steps for improvement