Le 21 février 2017, le groupe de travail «Article 29» (« G29 ») a publié un «Règlement intérieur du Panel informel d’ADP de l’UE dans le cadre du Privacy Shield »[1] et un «Formulaire pour présentation de plaintes commerciales aux ADP de l’UE»[2]. Les deux documents (en langue anglaise pour l’instant) font également référence au Règlement Général sur la Protection des Données (« GDPR »), qui n’est pas encore en vigueur. La publication de ces documents indique que les régulateurs de l’UE se préparent à la supervision de la mise en œuvre effective des principes du Privacy Shield par les sociétés qui y ont adhéré.
Règles de procédure
En vertu du Principe complémentaire III.5 « Fonctionnement des panels d’ADP » du Privacy Shield, les particuliers ou les organisations américains peuvent saisir un panel informel des ADP de l’UE au sujet de plaintes non résolues. Les règles de procédure décrivent la manière dont le panel informel des APD de l’UE fonctionnera. En voici quelques points clés:
- L’autorité de protection des données (« ADP ») qui reçoit la plainte évaluera si le panel ADP est compétent pour la traiter et, dans le cas contraire, l’autorité peut renvoyer la plainte au Ministère américain du commerce, à la Federal Trade Commission ou au Ministère des Transports.
- Le panel compétent est composé d’une ADP chef de file et généralement de deux co-examinateurs.
- L’APD chef de file sera, en général, l’ADP qui reçoit la plainte ou est la première à recevoir la plainte si la plainte a été déposée auprès de plusieurs ADP.
- Lors de la sélection des APD co-examinées, l’ADP pilote prendra en considération certains critères, tels que: (i) le siège des activités du groupe au sein de l’UE ; (ii) le lieu principal de traitement des données dans l’UE; (iii) le lieu à partir duquel les données sont transférées vers les USA ; (iv) le lieu où un grand nombre d’individus risquent d’être affectés par le manquement allégué; (v) l’expertise particulière de certaines APD; et (vi) les ressources disponibles.
- Pour devenir co-examinateur, une ADP doit soit montrer un intérêt dans la plainte, soit être choisie par l’ADP chef de file .
- Le panel fournira des conseils dans les 60 jours suivant la réception d’une plainte.
- La société américaine aura 25 jours pour se conformer, une fois que le panel aura rendu son avis.
Formulaire de réclamation
Un formulaire de réclamation, sous forme de questionnaire, permet de soumettre une plainte relative au Privacy Shield à une ADP nationale. Son utilisation est facultative. À la fin du document, un paragraphe précise qui traitera les données fournies dans le formulaire, comment elles seront protégées et le fait qu’elles peuvent être transférées vers les États-Unis.
Contact : stephanie.faber@squirepb.com
[1] Rules of Procedure for the ‘Informal Panel of EU DPAs’ According to the EU-US Privacy Shield
[2] Complaint Form for Submitting Commercial Related Complaints to EU DPAs