L'UE et les Etats-Unis se sont enfin accordés sur le nouveau régime devant succéder au Safe Harbor, sans pour autant mettre un terme au flou de l'après Safe Harbor. Hier, Věra Jourová, commissaire européenne en charge de la justice, a annoncé le feu vert donné par le Collège des Commissaires européens à l'accord politique, dit "EU/US Privacy Shield", négocié avec les Etats-Unis afin d'encadrer les transferts de données à caractère personnel entre l'UE et les Etats-Unis. Détails...
Cet accord était attendu impatiemment et rendu nécessaire afin de remplacer le Safe Harbor [mécanisme permettant le transfert de données vers pas moins de 4.000 entreprises y ayant adhéré aux Etats-Unis] invalidé par l'arrêt Schrems rendu par la Cour de Justice de l'Union Européenne le 6 octobre 2015.
Après des mois de négociations intenses, la Commission Européenne et les Etats-Unis sont enfin parvenus à un accord définissant le régime destiné à remplacer le Safe Harbor pour encadrer ce type de transferts.
Voici quelques exemples des dispositifs prévus par ce nouveau "bouclier" :
· des garanties écrites et détaillées apportées par les Etats-Unis afin d'assurer que l'accès aux données des citoyens européens par les autorités publiques à des fins de sécurité nationale sera limité et contrôlé ;
· des engagements pris par les entreprises importatrices des données de respecter des obligations rigoureuses sur le traitement des données et le respect des droits des personnes concernées, sous la surveillance du "Department of Commerce" ;
· la définition de plusieurs voies de recours pour les citoyens européens tant en Europe qu'aux Etats-Unis avec notamment une voie d'arbitrage possible en dernier recours ;
· une clause de révision annuelle permettant de surveiller de près que ce dispositif est correctement mis en place ;
· des sanctions voire l'exclusion des entreprises importatrices de données du nouveau dispositif pourraient être appliquées à l'encontre des entreprises se trouvant en violation de leurs obligations ;
Un premier pas vers un nouveau Safe Harbor
Il a été précisé que ce dispositif a été négocié en tenant compte des exigences prévues par le Règlement Européen dont la publication officielle devrait avoir lieu en avril 2016, devenant normalement obligatoire au printemps 2018.
La CNIL et ses homologues européens au sein du G29 se réunissaient hier et à aujourd’hui afin de s'accorder sur les conséquences de l'arrêt Schrems sur les transferts de données entre l'Europe et les Etats-Unis. Lors de la session plénière qui se déroule aujourd’hui, Věra Jourová exposera au G29 les conséquences pratiques et juridiques de l'accord trouvé aujourd'hui avec les Etats-Unis.
Un projet de "décision d'adéquation" sera rédigé dans les prochaines semaines par la commissaire européenne et le vice-président Andrus Ansip, projet qui devra ensuite être adopté par le Collège, après avis du G29. Pendant ce temps, les Etats-Unis sont tenus de prendre les actions nécessaires pour mettre en place rapidement ce nouveau dispositif.
Encore beaucoup de zones d’ombres
Alors que les commissaires européens se félicitent d'avoir conclu un accord solide et autrement plus protecteur des droits des citoyens européens que le Safe Harbor, cet accord transatlantique est déjà fortement critiqué par certains comme étant purement politique voire insuffisant à bien des niveaux pour garantir la protection des données des citoyens européens, au risque d'être à nouveau remis en cause par la CJUE.
A ce jour, il reste encore beaucoup de zones d'ombres, notamment concernant l'éventuelle remise en cause par certaines autorités européennes des clauses contractuelles types pour le transfert de données vers les Etats-Unis.
Le chemin promet donc d'être encore long avant que ce nouveau "bouclier" soit réellement exploitable ou moins critiquable. Affaire à suivre…
Annabelle Richard et Anne-Sophie Mouren, avocats Pinsent Masons