Le Privacy Shield ou l’adoption laborieuse du frêle successeur du Safe Harbor | Par Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons

zen stone

Après des mois d’incertitude quant à l’avenir des transferts de données transatlantiques, l’accord conclu entre la Commission européenne et les Etats-Unis (le « Privacy Shield »), devant se substituer au Safe Harbor, a finalement été adopté par la Commission européenne le 12 juillet dernier. Les transferts de données depuis l’UE vers les Etats Unis opérés avec des entreprises américaines certifiées auprès des autorités américaines comme étant conformes aux principes du Privacy Shield seront donc autorisés. On reste malgré tout loin d’une promesse de jours heureux et tranquilles.

Le Groupe de l’Article 29 (« G29 », rassemblant l’ensemble des CNILs européennes) donnera bientôt sa position sur la nouvelle version de cet accord. Si le G29 adopte une position mitigée sur la décision d’adéquation de la Commission européenne, la prétendue solidité du Privacy Shield sera sérieusement affectée.

Bref retour en arrière

Le 6 octobre 2015, les transferts de données entre l’UE et les Etats-Unis sont violemment attaqués par la Cour de Justice de l’Union Européenne (CJUE). Dans le prolongement des révélations d’Edward Snowden, la CJUE invalide le Safe Harbor, outil juridique employé depuis 2000 par environ 4.000 entreprises pour opérer des transferts des données depuis l’Union Européenne vers les Etats-Unis (arrêt Schrems).

Peu après, le Groupe de l’Article 29 donne trois mois aux autorités et gouvernements européens pour définir un nouvel outil de transfert de données UE/US qui soit conforme aux exigences définies récemment par la CJUE.

Le 2 février 2016, le Collège des Commissaires européens donne son feu vert à l’accord politique négocié entre la Commission européenne et les Etats-Unis afin d’encadrer les transferts de données EU/US, désormais appelé Privacy Shield. Le contenu du projet de décision d’adéquation de la Commission européenne sur le Privacy Shield est alors rendu public le 29 février.

L’enthousiasme de la Commission européenne n’est pourtant pas partagé par l’ensemble des institutions européennes. Le 13 avril dernier, le G29 a émis de nombreuses réserves quant à l’efficacité et la solidité réelles du Privacy Shield, signalant l’existence de zones d’ombres voire d’incohérences dans un texte qui peine à limiter la surveillance de masse indiscriminée reprochée aux Etats Unis.

En mai 2016, après la demande du Parlement européen de poursuivre les négociations pour améliorer le projet d’accord, le contrôleur européen de la protection des données signalait le risque sérieux que le Privacy Shield soit lui aussi invalidé par la CJUE.

Un accord renégocié, adopté et aussitôt critiqué

Le 8 juillet dernier, une version modifiée du Privacy Shield a été validée par le comité de l’article 31, composé des représentants des Etats membres de l’UE. Certains Etats Membres ont toutefois préféré s’abstenir et n’ont donc pas approuvé cette version de l’accord.

La Commission Européenne a ensuite adopté formellement le 12 juillet dernier une décision d’adéquation reconnaissant au Privacy Shield un niveau de protection essentiellement équivalent aux exigences européennes. Il faut désormais attendre que le Privacy Shield soit notifié aux Etats membres de l’UE pour que ce mécanisme entre en vigueur. Les entreprises américaines souhaitant utiliser cet outil juridique pourront se faire certifier à partir du 1er août prochain.

Satisfaits de cette décision, les Commissaires européens Ansip et Jourova ont déclaré que les réserves soulevées par le groupe de l’Article 29 avaient été prises en compte dans la nouvelle version du Privacy Shield. La Commission a ainsi annoncé que les Etats-Unis avaient fourni des garanties écrites excluant la possibilité d’opérer des surveillances de masse systématiques sur les données transférées dans le cadre du Privacy Shield.

Si Věra Jourová estime que le Privacy Shield est « fondamentalement différent du Safe harbor« , nombreux sont ceux, à commencer par Max Schrems, qui demeurent sceptiques sur la nature protectrice de ce nouvel accord.La remise en cause du Privacy Shield devant les juridictions européennes n’est donc clairement pas à exclure.

A ce titre, la Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet estime que la décision a été « adoptée dans la plus grande précipitation » et « ne répond pas aux inquiétudes exprimées« . Selon elle, le Privacy Shield n’aurait aucun intérêt dans la mesure où cette décision ne se substitue pas aux « alternatives moins contraignantes actuellement en vigueur que sont par exemple les clauses contractuelles types (SCCs) ou les règles internes d’entreprises (BCR)« .  

Le G29 n’avait par ailleurs pas caché ses doutes quant à la capacité de ces outils à garantir un niveau de protection suffisant aux données transférées aux Etats-Unis à la lumière des exigences posées par la CJUE dans l’arrêt Schrems. Le Groupe de l’Article 29 étudie actuellement la décision adoptée par la Commission européenne. Sa position, qui devrait normalement être officialisée lors d’une réunion prévue le 25 juillet prochain, est donc vivement attendue. Elle peut avoir une influence significative sur l’envie ou non des entreprises d’utiliser ce nouveau mécanisme juridique à l’avenir.

Au 25 juillet, donc !

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Le Privacy Shield ou l’adoption laborieuse du frêle successeur du Safe Harbor | Par Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons

zen stone 20th juillet, 2016

Après des mois d’incertitude quant à l’avenir des transferts de données transatlantiques, l’accord conclu entre la Commission européenne et les Etats-Unis (le « Privacy Shield »), devant se substituer au Safe Harbor, a finalement été adopté par la Commission européenne le 12 juillet dernier. Les transferts de données depuis l’UE vers les Etats Unis opérés avec des entreprises américaines certifiées auprès des autorités américaines comme étant conformes aux principes du Privacy Shield seront donc autorisés. On reste malgré tout loin d’une promesse de jours heureux et tranquilles.

Le Groupe de l’Article 29 (« G29 », rassemblant l’ensemble des CNILs européennes) donnera bientôt sa position sur la nouvelle version de cet accord. Si le G29 adopte une position mitigée sur la décision d’adéquation de la Commission européenne, la prétendue solidité du Privacy Shield sera sérieusement affectée.

Bref retour en arrière

Le 6 octobre 2015, les transferts de données entre l’UE et les Etats-Unis sont violemment attaqués par la Cour de Justice de l’Union Européenne (CJUE). Dans le prolongement des révélations d’Edward Snowden, la CJUE invalide le Safe Harbor, outil juridique employé depuis 2000 par environ 4.000 entreprises pour opérer des transferts des données depuis l’Union Européenne vers les Etats-Unis (arrêt Schrems).

Peu après, le Groupe de l’Article 29 donne trois mois aux autorités et gouvernements européens pour définir un nouvel outil de transfert de données UE/US qui soit conforme aux exigences définies récemment par la CJUE.

Le 2 février 2016, le Collège des Commissaires européens donne son feu vert à l’accord politique négocié entre la Commission européenne et les Etats-Unis afin d’encadrer les transferts de données EU/US, désormais appelé Privacy Shield. Le contenu du projet de décision d’adéquation de la Commission européenne sur le Privacy Shield est alors rendu public le 29 février.

L’enthousiasme de la Commission européenne n’est pourtant pas partagé par l’ensemble des institutions européennes. Le 13 avril dernier, le G29 a émis de nombreuses réserves quant à l’efficacité et la solidité réelles du Privacy Shield, signalant l’existence de zones d’ombres voire d’incohérences dans un texte qui peine à limiter la surveillance de masse indiscriminée reprochée aux Etats Unis.

En mai 2016, après la demande du Parlement européen de poursuivre les négociations pour améliorer le projet d’accord, le contrôleur européen de la protection des données signalait le risque sérieux que le Privacy Shield soit lui aussi invalidé par la CJUE.

Un accord renégocié, adopté et aussitôt critiqué

Le 8 juillet dernier, une version modifiée du Privacy Shield a été validée par le comité de l’article 31, composé des représentants des Etats membres de l’UE. Certains Etats Membres ont toutefois préféré s’abstenir et n’ont donc pas approuvé cette version de l’accord.

La Commission Européenne a ensuite adopté formellement le 12 juillet dernier une décision d’adéquation reconnaissant au Privacy Shield un niveau de protection essentiellement équivalent aux exigences européennes. Il faut désormais attendre que le Privacy Shield soit notifié aux Etats membres de l’UE pour que ce mécanisme entre en vigueur. Les entreprises américaines souhaitant utiliser cet outil juridique pourront se faire certifier à partir du 1er août prochain.

Satisfaits de cette décision, les Commissaires européens Ansip et Jourova ont déclaré que les réserves soulevées par le groupe de l’Article 29 avaient été prises en compte dans la nouvelle version du Privacy Shield. La Commission a ainsi annoncé que les Etats-Unis avaient fourni des garanties écrites excluant la possibilité d’opérer des surveillances de masse systématiques sur les données transférées dans le cadre du Privacy Shield.

Si Věra Jourová estime que le Privacy Shield est « fondamentalement différent du Safe harbor« , nombreux sont ceux, à commencer par Max Schrems, qui demeurent sceptiques sur la nature protectrice de ce nouvel accord.La remise en cause du Privacy Shield devant les juridictions européennes n’est donc clairement pas à exclure.

A ce titre, la Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet estime que la décision a été « adoptée dans la plus grande précipitation » et « ne répond pas aux inquiétudes exprimées« . Selon elle, le Privacy Shield n’aurait aucun intérêt dans la mesure où cette décision ne se substitue pas aux « alternatives moins contraignantes actuellement en vigueur que sont par exemple les clauses contractuelles types (SCCs) ou les règles internes d’entreprises (BCR)« .  

Le G29 n’avait par ailleurs pas caché ses doutes quant à la capacité de ces outils à garantir un niveau de protection suffisant aux données transférées aux Etats-Unis à la lumière des exigences posées par la CJUE dans l’arrêt Schrems. Le Groupe de l’Article 29 étudie actuellement la décision adoptée par la Commission européenne. Sa position, qui devrait normalement être officialisée lors d’une réunion prévue le 25 juillet prochain, est donc vivement attendue. Elle peut avoir une influence significative sur l’envie ou non des entreprises d’utiliser ce nouveau mécanisme juridique à l’avenir.

Au 25 juillet, donc !

By
@coesteve1
backtotop