Privacy Shield et Safe HarborPrivacy Shield et Safe Harbor

//Privacy Shield et Safe HarborPrivacy Shield et Safe Harbor

La Cour de justice de l’Union Européenne (CJUE), dans un arrêt en date du 6 octobre 2015 « Schrems c/ Data Protection Commissioner », a invalidé le Safe Harbor qui consistait, pour les entreprises établies aux Etats-Unis, en un ensemble de principes de protection des données personnelles. Les entreprises américaines adhérant au safe harbor étaient considérées comme assurant un niveau adéquat de protection au sens de la Directive 95/46 sur la protection des données personnelles. Les entreprises européennes pouvaient ainsi librement transférer des données personnelles vers ces entreprises américaines.

Sur question préjudicielle, la CJUE a jugé que, pour se prononcer sur le niveau de protection assuré par la sphère de sécurité (Safe Harbor), « la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la Directive lue à la lumière de la Charte ». La CJUE a répondu par la négative considérant que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Constatant que la Commission n’avait pas recherché si les Etats-Unis « assuraient » effectivement une protec-tion adéquate, la Cour a prononcé l’invalidation de la décision d’adéquation. (source : https://www.cnil.fr/fr/invalidation-du-safe-harbor-par-la-cour-de-justice-de-lunion-europeenne-une-decision-cle-pour-la-0)

A la suite de cette invalidation, est né, le 2 février 2016, un nouveau cadre normatif en vue de régler la question du transfert transatlantique des données à caractère personnel : le Privacy Shield également appelé « bouclier de protection de la vie privée ».

Ce nouvel accord renforce les obligations pesant sur les entreprises américaines en vue de protéger les données personnelles des Européens. En effet, ces dernières doivent désormais respecter les décisions des autorités nationales de contrôle en matière de traitement des données personnelles en provenance de l’Europe.

En outre, les États-Unis se sont engagés via des garanties écrites à limiter, de manière claire et non équivoque, l’accès aux données personnelles par les autorités publiques à des motifs d’application de la loi ou de sécurité nationale. Par conséquent, les États-Unis s’engagent à ne plus pratiquer une surveillance de masse des données transatlantique transférées.

Enfin, le Privacy Shield prévoit des mécanismes de surveillance effectifs pour s’assurer que les entreprises respectent bien leurs obligations. Ainsi, la Commission Européenne et le Département du Commerce américain procèderont annuellement au contrôle du bon fonctionnement de l’accord.

De plus, tout citoyen qui estime que ses données personnelles ont été employées à tort bénéficiera de plusieurs possibilités pour faire valoir ses droits tel que par exemple, adresser une plainte à l’entreprise elle-même qui devra y répondre dans un délai de 45 jours ou utiliser le mode de règlement alternatif de résolution des conflits gratuitement mis à leur disposition.

Nous sommes à votre disposition si vous souhaitez connaître le cadre normatif afin de transférer des données personnelles de la France vers les Etats Unis.

Welaw Avocats