L’affaire Snowden avait révélé au monde entier la collecte massive des données réalisée par l’Agence nationale de la sécurité américaine (NSA) via ses programmes informatiques.
La Cour de Justice de l’Union Européenne avait alors invalidé le « Safe Harbor » en raison de l’insuffisance du niveau de garanties assuré par les Etats-Unis, au regard des droits fondamentaux et de la vie privée (Cf : notre précédente actualité sur l’annulation du Safe Harbor »).
L’accord Privacy Shield, qui doit pallier l’annulation du Safe Harbor, apparaît comme un progrès face aux lacunes de son ancêtre, mais nécessiterait des améliorations.
Depuis le 1er août 2016, il est à nouveau légal de transférer des données personnelles vers les USA, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine. De plus, les entreprises américaines devront respecter des obligations et des garanties en prenant l’engagement de se soumettre à des conditions strictes de traitement et de garantir les droits des individus.
Concrètement, les entreprises établies en France devront effectuer auprès de la CNIL une déclaration normale en renseignant l’annexe « Transfert » et en cochant la case « Privacy Shield », après avoir vérifié que l’entreprise destinataire des données est effectivement enregistrée comme telle auprès de l’administration américaine, à partir du site internet https://www.privacyshield.gov/.
A défaut, il est toujours possible de recourir aux autres garanties prévues par la réglementation européenne pour transférer des données en dehors de l’Union européenne, à savoir la signature de clauses contractuelles rédigées sur les modèles de clauses adoptées par la Commission européenne et l’adoption de règles d’entreprises contraignantes (les « Binding Corporate Rules)
Le Privacy Shield prévoit également les mesures supplémentaires suivantes :
- L’accès par les autorités publiques américaines, à des fins d’ordre public et de sécurité nationale, sera soumis à une supervision, des limites et des garanties bien définies.
- Tout citoyen souhaitant dénoncer une utilisation abusive de ses données bénéficiera de plusieurs voies de recours et les entreprises devront répondre aux plaintes dans des délais définis.
- Un « Médiateur du Bouclier » devra veiller à ce que les réclamations soient examinées et traitées rapidement.
Malgré ces améliorations, le dispositif fait encore couler beaucoup d’encre. Le groupe de l’article 29, qui réunit l’ensemble des CNIL européennes, a notamment dénoncé le « manque de garanties concrètes » visant à interdire la collecte de masse : les Etats-Unis se sont en effet engagés à ne pas pratiquer de surveillance excessive contre des citoyens européens, mais n’ont pas détaillé la manière dont ils comptaient le faire.
Pour rappel, un transfert ne respectant pas ces conditions est sanctionné par une amende pouvant aller jusqu’à 300 000€ et une peine d’emprisonnement de 5 ans (articles 226-16, 226-16A et 226-22-1 du Code pénal).