Le 12 juillet 2016, la Commission Européenne et le Département du Commerce américain ont adopté l'UE-US Privacy Shield. Ce Privacy Shield remplace le Safe Harbour Framework qui a été annulé par l'arrêt de la Cour de justice du 6 octobre 2015 (voir Eubelius Flash du 6 octobre 2015). Le Privacy Shield fournit une nouvelle base pour les transferts de données personnelles vers les États-Unis, mais certains craignent que le Privacy Shield soit de courte durée.
Qu'est-ce qui change avec le Privacy Shield?
Le Privacy Shield (pour le texte, voir ici et ici) offre aux entreprises une option supplémentaire pour envoyer des données aux États-Unis. Il coexiste avec des instruments existants tels que les clauses contractuelles types de la Commission européenne (à propos desquelles la Commission de la vie privée irlandaise a d'ailleurs annoncé son intention de renvoyer une affaire devant la Cour de Justice), des contrats ad hoc ou des règles d'entreprise contraignantes.
Le Shield fonctionne comme le Safe Harbour avec une procédure d'auto-certification, mais impose des conditions plus strictes afin de s'y conformer. Les principales différences par rapport au cadre Safe Harbour sont les suivantes:
- des obligations plus lourdes pour les importateurs de données (par exemple en ce qui concerne l'information dans les privacy policies),
- des conditions plus strictes pour les transferts ultérieurs des données,
- des limitations et des garanties pour l'accès aux données par les autorités américaines,
- des inspections régulières des entreprises certifiées pour assurer la conformité avec le Shield et des pénalités en cas de non-respect, et
- des obligations de prévoir une procédure de règlement des différends accessible et abordable pour les personnes concernées.
Comment une entreprise peut-elle obtenir la certification?
Le Département de Commerce américain a lancé un site web où les entreprises peuvent s'inscrire au Privacy Shield. Cette certification doit être renouvelée chaque année.
Depuis le 1er août 2016, environ 40 entreprises se sont enregistrées.
Que réserve l'avenir pour le Privacy Shield?
Le 26 juillet 2016, le groupe de travail "article 29" a publié une déclaration dans laquelle il a accueilli avec satisfaction les améliorations du Privacy Shield, mais a en même temps exprimé ses soucis concernant certains aspects, tels que l'accès à des données personnelles par des pouvoirs publics.
GT29 a également annoncé qu'il réévaluera le Privacy Shield dans un an, afin que le Privacy Shield reçoive donc pendant un an au moins l'opportunité de prouver son efficacité. Il est très discutable de savoir si cela réussira. La commission de la vie privée de Hambourg a déjà annoncé son intention de prendre des mesures contre le Privacy Shield. Max Schrems, qui était à la base de l'annulation du Safe Harbour Framework, a également tenu quelques propos peu flatteurs pour décrire le Privacy Shield. Il l'a décrit comme "putting 10 layers of lipstick on a pig".
À suivre…
