12 avril 2016
Dans une interview parue dans Actuel Direction Juridique, un journal en ligne des Editions Législatives (http://www.actuel-direction-juridique.fr/), Lucie Corvisier et Alexis Vichnievsky font part de leur analyse sur le Privacy Shield, nouveau cadre de transmission des données entre l’Union européenne et les États-Unis. Retrouvez l’intégralité de cet interview sur notre site.
***
« Privacy Shield » : « Adhérer ou non à ce bouclier relève du libre choix des entreprises », selon Alexis Vichnievsky et Lucie Corvisier
Interview parue dans Actuel Direction Juridique, un journal en ligne des Editions Législatives le 11 mars 2016 (http://www.actuel-direction-juridique.fr/)
Bientôt, les transferts transatlantiques de données devraient, de nouveau, disposer d’un cadre avec le système de « Privacy Shield » sur lequel les États-Unis et la Commission européenne se sont mis d’accord. Remplaçant du « Safe Harbor » le « Privacy Shield » en est très largement inspiré.
Le 29 février dernier, la Commission européenne a présenté le Privacy Shield, nouveau cadre de transmission des données entre l’Union européenne et les États-Unis (voir notre article). Alexis Vichnievsky et Lucie Corvisier, avocats spécialistes de la propriété intellectuelle et littéraire du cabinet Osmose, nous font part de leur analyse de cet accord américano-européen.
En quoi le Privacy Shield diffère-t-il du Safe Harbor ?
Alexis Vichnievsky : Il s’agit toujours d’un système d’auto-certification des entreprises américaines. De ce point de vue, le fonctionnement ne change pas. En revanche, les principes auxquels les sociétés américaines vont dorénavant adhérer ont été considérablement développés : les informations qui doivent être transmises aux personnes dont les données sont transférées, le principe selon lequel les citoyens européens doivent pouvoir accéder à leurs données personnelles, le principe d’opposition (opt out) à la transmission des données à des tiers et de consentement express (opt in) s’agissant des données sensibles, l’obligation pour les entreprises de prendre des mesures raisonnables et appropriées pour assurer la sécurité des données, l’encadrement des transmissions de données à caractère personnel, etc.
Lucie Corvisier : Adhérer ou non à ce bouclier relève du libre choix des entreprises. Mais une fois qu’elles y adhérent, elles doivent respecter leurs engagements. Les autorités américaines doivent mettre en place des mécanismes de supervision visant à s’assurer que les engagements pris par les entreprises s’étant auto-certifiées soient respectés et prévoir des sanctions, incluant notamment l’exclusion du dispositif. Le Privacy Shield développe et encadre, par ailleurs, les voies de recours dont disposent les citoyens européens s’ils veulent se plaindre. Le gouvernement américain a également pris des engagements pour que l’accès aux données par les services de sécurité américains soit limité et que des garanties soient apportées. Enfin, le Privacy Shield prévoit un mécanisme d’audit annuel du bon fonctionnement du dispositif, mené conjointement par la Commission européenne et les autorités américaines.
Le Privacy Shield va-t-il devenir l’unique moyen de transmission des données à caractère personnel entre les États-Unis et l’Union européenne ?
Alexis Vichnievsky : Le Privacy Shield comme le Safe Harbor n’est qu’un outil parmi d’autres pour permettre le transfert de données à caractère personnel vers des sociétés américaines. La loi prévoit des exceptions permettant de transférer des données vers des pays tiers sans qu’il n’existe pour autant un niveau de protection suffisant. Par ailleurs, les transferts peuvent s’effectuer sur la base de règles internes d’entreprises (BCR) et de clauses contractuelles types (CCT).
Lucie Corvisier : Il existait une incertitude sur la portée de la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015. A-t-elle vocation à remettre en cause également les CCT et les BCR ? C’est ce qu’a laissé entendre le groupe des CNIL européennes (G29) dans sa communication du 5 février 2016, en indiquant que c’est bien l’ensemble des procédures actuelles de transferts de données de l’Union européenne vers les États-Unis qui sont invalides.
Alexis Vichnievsky : Cependant, afin de ne pas paralyser davantage les transferts de données qui ne peuvent plus s’effectuer sur la base de l’ancien Safe Harbor depuis son invalidation par la CJUE, le G29 a décidé que pendant la période d’analyse du Privacy Shield, les autres outils de transferts tels que les BCR ou les CCT peuvent continuer à être utilisés par les entreprises.
Lucie Corvisier : Le G29 a annoncé qu’il allait procéder à l’examen du Privacy Shield et rendrait son avis lors de sa séance plénière les 12 et 13 avril prochains. Il nous semble que son analyse va se faire à la fois sur les engagements qui ont été pris dans le cadre du Privacy Shield et sur l’impact qu’il peut avoir sur la possibilité pour les entreprises d’utiliser les BCR et CCT comme base juridique permettant de justifier le transfert de données à destination des États-Unis.
Comment les citoyens européens vont-ils pouvoir connaître les noms des entreprises qui se sont engagées à respecter le Privacy Shield ?
Lucie Corvisier : Cela va se passer de la même manière que pour le Safe Harbor. Une plateforme sera mise en ligne par le ministère du commerce américain sur laquelle se trouvera une liste des entreprises ayant adhéré au Privacy Shield. Le ministère du commerce américain doit tenir à jour cette liste, en fonction des renouvellements annuels des auto-certifications auxquelles les sociétés américaines sont soumises, et des éventuelles suppressions ou exclusions de cette liste.
Alexis Vichnievsky : Enfin, les entreprises américaines ayant adhéré au Privacy Shield doivent tenir à disposition l’adresse internet du site du ministère du commerce sur lequel la liste peut être consultée. Un lien hypertexte vers ce même site devra également figurer dans les politiques de confidentialité (privacy policies) des entreprises ayant adhéré au Privacy Shield.
Comment les recours prévus par le Privacy Shield vont-ils pouvoir être efficacement mis en œuvre ?
Lucie Corvisier : Le Privacy Shield devrait considérablement développer et encadrer les moyens de recours offerts aux citoyens européens mais il est aujourd’hui difficile de se prononcer sur leur efficacité opérationnelle. Le risque de sanction et d’exclusion du dispositif (empêchant de facto aux entreprises exclues de continuer à transférer les données) pourrait contribuer au respect par les entreprises de leur engagement de répondre aux plaintes dans un délai de 45 jours. La mise en place de procédures alternatives de résolutions de conflits devrait également participer à une meilleure prise en compte des plaintes des citoyens européens.
Alexis Vichnievsky : L’audit annuel mené conjointement par la Commission européenne et les autorités américaines sera aussi l’occasion de mesurer l’efficacité des moyens de recours mis en place. Si la Commission européenne conclut qu’il existe des indices clairs que les principes du Privacy Shield ne sont pas respectés, et que les autorités américaines ne parviennent pas à démontrer que le dispositif assure un niveau de protection adéquat, la Commission pourra initier la procédure de suspension ou de retrait total ou partiel de la décision ayant reconnu un niveau de protection adéquat au Privacy Shield. Enfin, la CJUE, saisie d’une nouvelle plainte, pourrait invalider le Privacy Shield, comme elle l’a fait pour le Safe Harbor.
Propos recueillis par Delphine Iweins