SOURCE : Décision de la Commission européenne du 12 juillet 2016, en application de la Directive 95/46 CE du Parlement européen et du Conseil, sur le bouclier de protection des données UE-Etats Unis.
Le bouclier de protection des données instauré par la Commission européenne résulte d’un accord politique historique obtenu avec le gouvernement des Etats-Unis sur un nouveau cadre pour les échanges transatlantiques de données à caractère personnel à des fins commerciales, après que la Cour de justice de l’Union européenne ait invalidé l’ancien régime de sécurité par un arrêt en date du 6 octobre 2015.
Ce bouclier est fondé sur les principes suivants :
Des obligations strictes pour les entreprises qui opèrent un traitement des données transatlantiques : les entreprises dont la pratique ne sera pas conforme aux nouvelles règles établies s’exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif ;
Un accès limité des pouvoirs publics américains et une obligation de transparence : l’accès aux données personnelles des citoyens européens par les autorités américaines ne sera autorisé que lorsqu’elles intéresseront l’ordre public ou la sécurité nationale et fera l’objet d’un mécanisme de surveillance bien défini. Le recours à la collecte de données « en vrac » ne sera actionné que dans des circonstances exceptionnelles et nécessitera que la collecte soit la plus ciblée et précise possible. Enfin, les citoyens de l’Union européenne bénéficieront pour la première fois d’une possibilité de recours, par l’instauration notamment d’un mécanisme de médiation indépendant du service des renseignements des Etats-Unis.
Une protection accrue des droits fondamentaux : cette décision permettra aux citoyens européens considérant qu’une utilisation abusive de leurs données personnelles a été faite de bénéficier de plusieurs modes accessibles et abordables de règlement des litiges. La victime pourra notamment s’adresser à une autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l’Union soient examinées et réglées. Un mécanisme d’arbitrage sera disponible en dernier ressort ;
Un mécanisme de réexamen conjoint annuel : il permettra de contrôler le bon fonctionnement du bouclier de protection des données par les autorités publiques et les entreprises outre atlantique. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, en concertation avec les experts nationaux du renseignement. Un rapport public sera adressé au Parlement européen et au Conseil.
Cette décision de la Commission européenne a été notifiée aux Etats membres de l’Union européenne le 12 juillet 2016 et est entrée immédiatement en vigueur. Aux Etats-Unis, le texte a été publié au Federal Register et les entreprises intéressées peuvent obtenir une certification auprès du ministère du commerce depuis le 1er août 2016.
Virginie PERDRIEUX
Vivaldi-Avocats