Le Safe Harbor, ou Sphère de sécurité, un accord transatlantique sur la gestion des données personnelles, fut invalidé par la Cour de justice de l’Union européenne en octobre 2015, donnant tort à la Commission européenne qui estima que les États-Unis assuraient un niveau adéquat de protection aux données à caractère personnel transférées.
La Commission élabora alors en toute hâte un accord de remplacement : le Bouclier de protection des données UE-États-Unis (Privacy Shield), adopté le 12 juillet 2016 et en vigueur depuis le 1er août 2016.
Ce cadre protège les droits fondamentaux de tout citoyen de l’Union dont les données à caractère personnel sont transférées à des fins commerciales vers des sociétés certifiées aux États-Unis, tout en apportant de la clarté juridique aux entreprises qui ont recours à des transferts transatlantiques de données.
La Commission s’est engagée à procéder à un examen annuel du dispositif afin de s’assurer qu’il continue de garantir un niveau de protection adéquat des données à caractère personnel.
Aujourd’hui, elle publie le rapport sur le deuxième examen annuel.
Il conclut que les États-Unis continueraient à assurer un niveau adéquat de protection des données à caractère personnel transférées au titre du bouclier de protection des données de l’UE vers les sociétés participantes aux États-Unis. Les mesures prises par les autorités américaines pour mettre en œuvre les recommandations formulées par la Commission dans le rapport de l’année dernière auraient permis d’améliorer le fonctionnement du cadre.
Notamment le renforcement par le ministère du commerce du processus de certification et de la surveillance proactive du cadre. 100 sociétés ont été contrôlées au hasard : parmi elles, 21 présentaient des problèmes qui ont été résolus depuis.
Le ministère du commerce aurait mis en place un système pour mettre en évidence les fausses déclarations qui empêche les sociétés concernées de faire croire qu’elles respectent les exigences du bouclier de protection des données lorsqu’elles n’ont pas été certifiées.
La Commission avait demandé que la directive présidentielle 28, qui prévoit des mesures de protection de la vie privée pour les ressortissants non américains dans le cadre de la sécurité et du renseignement, soit intégrée à la section 702 du FISA – Foreign Intelligence Surveillance Act, lors de sa ré autorisation.
En vain, mais la Commission se console par le fait que le FISA ne remet pas en question les acquis du Bouclier.
Le rapport sera transmis au Parlement européen, au Conseil, au comité européen de la protection des données et aux autorités américaines.
La Commission européenne attend du gouvernement américain qu’il propose, au plus tard le 28 février 2019, un candidat pour le poste de médiateur à titre permanent.
Même si aucune plainte concernant l’accès par les autorités américaines aux données à caractère personnel n’a été enregistrée jusqu’à présent, un médiateur permanent est important pour veiller à ce qu’elles soient traitées.
Si le gouvernement américain ne le fait pas d’ici là, la Commission envisagera de prendre des mesures appropriées, conformément au règlement général sur la protection des données.
Mais la Commission dispose-t-elle d’un levier de pression ?