Le transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) est possible, à condition d’assurer un niveau de protection des données suffisant et approprié.
Jusque fin 2015, les Etats-Unis et l’Union européenne organisaient le transfert des données selon le mécanisme du Safe Harbor. La Cour de Justice de l’Union a cependant invalidé ce mécanisme car le niveau de protection constaté en droit européen n’était pas reproduit aux Etats-Unis.
Les échanges entre les Etats-Unis et l’Union européenne étant nombreux et fréquents, un nouveau mécanisme, dit « Privacy Shield », est entré en vigueur en remplacement le 1er aout 2016. Il s’agit « d’un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis ».
Le processus d’auto-certification requière que l’entreprise située aux Etats-Unis soit soumise aux pouvoirs de contrôle et d’exécution d’autorités compétentes, dont les principales sont la Commission Fédérale du Commerce et le Département des Transports américain. En conséquence, les banques et les sociétés d’assurances sont par exemple exclues du bénéfice du mécanisme.
Le Privacy Shield s’applique à tout type de données à caractère personnel transférées par une entité depuis l’Union européenne vers une entreprise bénéficiant de la certification aux États-Unis.
La certification s’applique aujourd’hui à près de 3 850 sociétés, dont Google, Microsoft et IBM.
Comme tout mécanisme d’adéquation, le Privacy Shield fait l’objet d’un examen régulier de conformité. Lors du premier examen réalisé en octobre 2017, le dispositif avait été approuvé. Les autorités européennes avaient cependant identifié certaines procédures qui nécessitaient d’être améliorées.
Dans un nouvel examen rendu public mercredi 19 décembre 2018, la Commission relève que des progrès ont été accomplis. Ainsi, le processus de certification et la surveillance proactive du Privacy Shield par le ministère américain du Commerce ont été renforcés. La Commission Fédérale du Commerce est également plus impliquée dans la vérification du respect des principes de l’accord. La mise en place d’une enquête suite à l’affaire Cambridge Analytica a également contribué à rassurer la Commission européenne
La protection des données des non-ressortissants américains lorsque ces données étaient utilisées par les agences de renseignement et de sécurité américaines constituait un autre point d’achoppement. La sécurité nationale est souvent un motif d’utilisation des données sans l’accord des personnes concernées. La Commission relève désormais que le quorum du Conseil de surveillance de la vie privée et des libertés civiles a été atteint avec la nomination de nouveaux membres, ce qui améliore les garanties en matière de protection des données des citoyens non-américains.
La Commission a cependant rappelé que la nomination par les autorités des Etats-Unis d’un médiateur permanent est toujours nécessaire. Celui-ci a pour rôle de recevoir et d’arbitrer les plaintes relatives au Privacy Shield émises par les personnes dont les données traitées font l’objet d’un transfert.
La Commission a fixé le dernier délai pour sa nomination au 28 février 2019.
Source : Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d’ici le 28 février 2019http://europa.eu/rapid/press-release_IP-18-6818_fr.htm
