Communiqué de presse de la Commission européenne du 2 février 2016
Déclaration du Groupe de l’article 29 du 3 février 2016
Après moultes péripéties, entrecoupées par l’invalidation du Safe Harbor par la CJUE le 6 octobre 2015 (voir notre article « ALERTE : La CJUE invalide le programme de sphère de sécurité dit Safe Harbor » et les autres articles sur le sujet), la Commission européenne a annoncé qu’un nouvel accord vient d’être trouvé qui devrait pouvoir remplacer l’ancienne « sphère de sécurité ».
Le G29 (qui rassemble les autorités de protections des données personnelles de l’UE) a fait une déclaration indiquant qu’il attendait d’avoir des informations complètes sur l’accord aux fins de l’évaluer à l’aune des principes qu’il a identifiés comme essentiels.
I. L’annonce de la Commission européenne sur le EU–US Privacy shield
Selon la Commission européenne (en la personne d’Andrus Ansip, le commissaire européen responsable du marché numérique, et de Věra Jourová, en charge de la justice), le nouvel accord devrait répondre aux critiques formulées non seulement par la CJUE, mais aussi précédemment par la Commission européenne et le G 29.
Le communiqué de presse (qui n’existe qu’en langue anglaise au moment de la rédaction de cet article) met en avant les éléments suivants :
Des obligations renforcées pour les sociétés US traitant des données personnelles en provenance de l’UE
Les sociétés américaines qui adhéreront à cet accord devront prendre des engagements renforcés sur la façon dont elles traitent des données personnelles et garantissent les droits des individus. Pour l’instant il faut attendre la publication du texte pour connaitre le contenu de ces obligations.
Les sociétés traitant de données RH venant d’Europe devront respecter les décisions des autorités de protection des données personnelles européennes.
Une politique de sanction plus ferme
Le Département du commerce américain devra surveiller que les sociétés publient effectivement leurs engagements, ce qui les rend opposables en droit américain et permettra à la US Federal Trade Commission ou FTC (agence de protection du consommateur et de la concurrence) de sanctionner le non-respect de ces engagements.
Des engagements des autorités américaines
La Commission indique que « pour la première fois » les États-Unis ont donné des assurances « écrites » sur le fait que l’accès aux données par les autorités publiques et celles en charge de la sécurité nationale ferait l’objet de limitations et de mécanismes de contrôles. L’accès ne pourra se faire que « dans la mesure où cela est nécessaire » et de façon proportionnée. Les États-Unis s’interdiraient de procéder à une surveillance et à l’interception de masse indifférenciée des données personnelles transférées vers les États-Unis.
Une revue annuelle
La Commission européenne et le département de justice américain effectueront ensemble une revue annuelle du fonctionnement de l’accord qui couvrira notamment l’accès pour raison de sécurité nationale. Cette revue pourra associer des experts des questions de sécurité nationales issus des autorités de protection de données européennes (la CNIL en France) et américaines (la FTC aux Etats-Unis).
Voies de recours
Plusieurs voies de recours seront ouvertes aux personnes concernées. Les sociétés devront répondre aux plaintes dans un temps limité . Les autorités de protection des données personnelles européennes pourront transmettre les plaintes au département du commerce américain et à la FTC. De plus, les modes alternatifs de règlement des litiges seront proposés gratuitement.
Un « Ombudsman » (ou médiateur) sera mis en place aux Etats Unis pour les questions touchant à l’accès par les agences de sécurité.
Prochaines étapes
Les dates de publication du texte et d’une éventuelle adoption de l’accord sont encore incertaines.
Les États-Unis devraient préparer la mise en place du nouvel accord, des mécanismes de contrôle et de l’Ombudsman. Le Vice-Président Ansip et le Commissaire Jourová ont annoncé avoir été mandaté pour préparer une décision d’ « adéquation » dans les « semaines prochaines ». Une telle décision nécessite au préalable l’avis du G 29 et d’un comité composé de représentants des Etats membres.
II. Déclaration du G29 du 3 février 2016
Le G29 a publié le 3 février une déclaration sur les conséquences de l’invalidation du Safe Harbor qui porte notamment sur l’annonce du Privacy Shield.
Déclaration sur le Privacy Shield
Le G29 se félicite qu’un accord ait pu être trouvé avant la date qu’il avait fixée (voir notre article Alerte : Communiqué du G29 sur les prochaines étapes concernant le Safe Harbor) et au-delà de laquelle, à défaut d’accord, les autorités s’engageaient à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.
Le G29 indique qu’il n’a pas, à ce stade, l’assurance que cet accord permet de satisfaire entièrement aux principes fondamentaux qu’il a identifiés (voir ci-dessous). Il demande à avoir « l’intégralité des documents » relatifs aux accords sur le Privacy Shield avant la fin février 2016 « afin de connaitre plus précisément le contenu et le caractère contraignant des accords ». Il finalisera ensuite son évaluation sur les transferts vers les Etats-Unis.
Quatre principes pour préserver les droits des individus dans le cadre des actions des services de renseignements
Le G29 a établi les principes qui doivent être respectés dans toute intervention des services de renseignement et qui doivent être pris en compte dans l’évaluation des transferts vers les Etats-Unis ou tout autre pays hors de l’UE.
1. Le traitement de données personnelles doit être fondé sur des règles claires, précises et accessibles : cela doit permettre aux personnes concernées, une fois informées, d’anticiper ce qui peut être fait avec leurs données lorsqu’elles sont transférées ;
2. Le traitement doit être nécessaire et proportionnel compte tenu des objectifs poursuivis : il faut un équilibre entre l’objectif de sécurité nationale et les droits de l’individu ;
3. Il faut un mécanisme indépendant de contrôle qui soit efficace et impartial : ce peut être un juge ou tout autre organe indépendant, sous réserve qu’il ait des pouvoirs d’investigation et de contrôle ;
4. Les individus doivent bénéficier de voies de recours effectives : toute personne doit avoir le droit de se défendre devant un organe indépendant.
La réflexion sur les Clauses types et les BCR comme moyens de protection pour les transferts vers les Etats-Unis
Cette réflexion est toujours en cours mais, dans l’attente d’une position, ces moyens restent valables et efficaces.
III. Quelques réactions sur le Privacy Shield
Un certain nombre de voix s’élèvent déjà pour exprimer une inquiétude voire des critiques.
Le président de la commission Libe[1] du Parlement européen, Claude Moraes[2], tout en accueillant favorablement l’annonce d’un tel accord s’est dit « profondément préoccupé de la valeur réelle de ces propositions, de l’Ombusdman aux garanties futures sur les voies de recours ». Il demande à ce qu’il y ait un véritable dialogue entre la Commission et le Parlement sur les détails du nouvel accord.
Sur twitter, les commentaires du vice-président de la commission Libe, Jan Philipp Albrecht (qui parle d’une « plaisanterie »[3]), de Max Schrems (l’étudiant autrichien dont l’action a donné lieu à l’invalidation du Safe Harbor ) qui tourne en dérision les assurances obtenues[4] et d’Edward Snowden (à l’origine des révélations sur PRISM) qui parle d’un accord « universellement critiqué »[5], nous engagent à la prudence sur la suite du processus.
Nous vous tiendrons informés
Contact : stephanie.faber@squirepb.com
[1] Libertés civiles, justice et affaires intérieures
[2] http://www.europarl.europa.eu/news/en/news-room/20160202IPR12410/EP-will-play-the-role-of-watchdog-over-new-Safe-Harbour-deal
[3] https://twitter.com/JanAlbrecht/status/694550717902778368
[4] https://twitter.com/maxschrems/status/694315777764278272
[5] https://twitter.com/Snowden/status/694571566990921728