En date du 6 octobre 2015, la CJUE a rendu l’arrêt Schrems(1). Par cet arrêt, la CJUE a annulé la décision 2000/250/CE de la Commission européenne, décision par laquelle la Commission européenne avait reconnu que le niveau de protection offert par les entreprises américaines ayant adhéré au Safe Harbor(2) était suffisant, et avait, de facto, consacré le principe du libre transfert des données à caractère personnel d’un territoire européen vers une entreprise américaine partie au Safe Harbor.

Depuis la date du 6 octobre 2015, les transferts de données à caractère personnel d’un territoire de l’Union européenne vers une entreprise américaine partie au Safe Harbor sont donc désormais considérés comme illégaux.

Pour répondre aux exigences de la CJUE, la Commission européenne a présenté, en date du 29 février 2016, un nouveau cadre, appelé le Privacy Shield ou bouclier de protection des données UE/ Etats-Unis.

Dès 2003, cependant, la Commission européenne avait, par le biais de deux communications du 27 novembre 2003(3), considéré que les bases fondamentales du Safe Harbor devaient être révisées et renforcées, du fait d’un certain nombre de facteurs, parmi lesquels, notamment, le nombre croissant de flux de données à caractère personnel et leur importance pour l’économie transatlantique, l’augmentation du nombre de sociétés américaines adhérant au système du Safe Harbor… Dès cette date, la Commission européenne avait entrepris de formuler 13 recommandations et avait d’ores et déjà entrepris des négociations avec les Etats-Unis. L’arrêt Schrems a finalement sonné le glas du Safe Harbor.

Les principes du Privacy Shield

Suite à l’arrêt Schrems, la Commission européenne a intensifié ses négociations avec les Etats-Unis en vue de parvenir à un accord politique et à la mise en place d’un nouveau cadre pour les transferts de données à caractère personnel d’un Etat membre vers les Etats-Unis, le Privacy Shield.

L’objectif de ce nouveau cadre est d’augmenter la protection des droits fondamentaux des citoyens concernés par un transfert de données à caractère personnel vers les Etats-Unis, mais également d’augmenter la sécurité juridique des entreprises amenées à devoir effectuer de tels transferts.

Le Privacy Shield est basé sur un système d’autocertification par lequel les entreprises américaines s’engagent à respecter un ensemble de principes dont sept principes fondamentaux et des principes complémentaires. Les principes fondamentaux sont les suivants :  

  1. l’obligation d’information (Notice principle) : les entreprises seront dans l’obligation de communiquer un certain nombre d’informations-clés aux sujets des transferts de données à caractère personnel et devront rendre publique leur politique de confidentialité, notamment ;  
  2. le droit à un opt-out (Choice principle) : les sujets de traitement de données à caractère personnel pourront s’opposer à la divulgation de leurs données à des tiers ou que celles-ci soient utilisées pour un but différent ;
  3. la sécurité des données (Security principle) : les entreprises créant, maintenant, utilisant ou diffusant des données à caractère personnel devront prendre des mesures de sécurité raisonnables et appropriées, en tenant compte des risques liés au traitement et à la nature des données ;
  4. l’intégrité des données et proportionnalité (Data intergrity and purpose limitation principle) : les données à caractère personnel devront être strictement limitées au but du traitement ;
  5. le droit d’accès (Access principle) : les sujets de traitement de données à caractère personnel auront le droit, sans justification et seulement en contrepartie de frais non excessifs, d’obtenir des entreprises la confirmation que celles-ci procèdent à un traitement de données à caractère personnel les concernant ainsi que la communication, dans un délai raisonnable, des données à caractère personnel communiquées. Ce droit ne saura être limité qu’en cas de certaines circonstances exceptionnelles. Les sujets de traitement de données à caractère personnel auront la possibilité de corriger, modifier ou effacer les données à caractère personnel inexactes ou collectées en violation de principes ;
  6. la responsabilité pour les traitements ultérieurs (Accountabilty for onward transfert principle) : tout traitement ultérieur de données à caractère personnel d’une entreprise à un responsable de traitement ou à un sous-traitant sera soumis à différentes conditions et sous certaines restrictions ;
  7. les recours, sanctions et responsabilité (Recourse, enforcement and liability principle) : les entreprises adhérentes devront mettre en place de solides mécanismes afin d’assurer le respect des autres principes énoncés et des recours efficaces pour les sujets de traitement de données à caractère personnel européens.

Les principes complémentaires traitent, quant à eux, par exemple, des données sensibles, de la liberté de la presse, de l’exécution d’audits et de vérifications ou encore du rôle des autorités de protection des données personnelles et des demandes d’accès des autorités publiques.

La Commission européenne a publié, en date du 29 février 2016, un projet de « déclaration d’adéquation » afin de permettre l’entrée en vigueur du Privacy Shield.

Les différentes autorités européennes de régulation des données, rassemblées au sein du Groupe 29, ont, quant à elles, publié, en date du 13 avril 2016, leur position sur ce projet de « déclaration d’adéquation ».

Cette « déclaration d’adéquation » doit encore être publiée dans le Journal Officiel de l’Union européenne. 

Me Emmanuelle Ragot Partner – Head of IP/TMT
Me Emmanuelle Ragot Partner – Head of IP/TMT
Me Florence Delille Associate Wildgen, Partners in Law
Me Florence Delille Associate Wildgen, Partners in Law

(1) Voir notre article Affaire Schrems – Invalidation par la Cour de la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données personnelles transférées, entreprises magazine n° 75, janvier-février 2016, pp.99 et 100).

(2) Pour rappel, le Safe Harbor était, avec les règles internes d’entreprises (Binding Corporate Rules ou BCR) et les clauses contractuelles types (CCT), un moyen contractuel permettant d’assurer le niveau de protection adéquat tel que requis par la loi modifiée du 2 août 2002 relative à la protection des personnes à l’égard du traitement de données à caractère personnel dans le cadre d’un transfert de données à caractère personnel vers un pays tiers. Le Safe Harbor contenait des principes de protection des données personnelles, négociés avec la Commission européenne, et concernait plus particulièrement des entreprises américaines qui souhaitaient recevoir des données à caractère personnel en provenance de l’Union européenne.

(3) Communications COM(2013) 846 final et COM(2013) 847 final du 27 novembre 2013.