Nouvel accord en cours pour rétablir la licéité des échanges transatlantiques de données personnelles

7/03/2016

Le 29 février dernier, la Commission européenne a publié le projet d'accord Privacy Shield, destiné à remplacer le Safe Harbor Act, afin d'encadrer les échanges de données personnelles entre l'Union européenne et les Etats-Unis.

C'est la directive n°95/46/CE du 24 octobre 1995 qui pose les règles applicables en matière de données à caractère personnel et de libre circulation de ces données. Cette directive indique qu'en cas de transfert de telles données de la Communauté européenne vers un pays tiers, il convient de vérifier que ce dernier offre un niveau de protection adéquat.

Par le passé, toute entreprise américaine se conformant au Safe Harbor Act était présumée fournir un niveau adéquat de protection. Facebook était ainsi labellisée Safe Harbor.

Un jeune utilisateur autrichien de Facebook s'est cependant inquiété de la protection effective de ses données, notamment suite aux révélations d'Edward Snowden en 2013 sur les méthodes de l'agence nationale de sécurité américaine (NSA).

La procédure (courageuse) qu'il a engagée en Irlande (la plainte ayant été déposée contre la filiale irlandaise de Facebook), est allée jusqu'à la Cour de Justice de l'Union Européenne, qui a remis en cause l'accord de Safe Harbor. Conséquence : la protection des données personnelles aux Etats-Unis étant jugée insuffisante, les transferts de telles données de l'Union européenne vers les Etats-Unis initiés sur la base de cet accord ne sont, pour l'heure, par principe plus licites.

La Commission européenne souhaitant remédier au plus vite à cette situation vient de publier le projet d'accord Privacy Shield, dont l'objet est d'édicter les grands principes à respecter par les entreprises pour l'échange de données personnelles entre les deux continents, dans des conditions assurant suffisamment de sécurité.

Si certains approuvent ce projet de texte, d'autres, comme Monsieur Schrems (l'étudiant autrichien), estiment que la question de la sécurité des données personnelles aux Etats-Unis n'a en réalité, sur le fond, pas été traitée. C'est désormais au G29 d'étudier le texte.

Affaire à suivre...