Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.
Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)
Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.
Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)
Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :
- le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;
- l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.
La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.
En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.
* * * * * * * * * * *
(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis
(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”
(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2019
Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)
Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.
Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)
Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :
- le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;
- l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.
La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.
En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.
* * * * * * * * * * *
(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis
(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”
(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2019
Aucun commentaire:
Enregistrer un commentaire