En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 26/06/2017
    OW2con’17

    OW2 anime une communauté open source mondiale dédiée à l'essor de logiciels libres et un…

    en détail En détail...
  • 03/07/2017
    Cloud Week 2017

    La Cloud Week 2017 se déroule du 3 au 7 juillet 2017 dans différents lieux…

    en détail En détail...
Celge_leaderboard

L´accord “E.U.-U.S. Privacy Shield” à réviser à la lumière de l´avis du G 29

qualiac_hautecouture_300x250

Même si la Commission européenne n´est pas liée par l´avis du G29 (Cnil européennes), qui a constaté des améliorations importantes apportées par le Privacy Shield par rapport au Safe Harbor, il est certain que les préoccupations du G29 seront prises en compte, explique Muriel Assuline, avocate du cabinet Assuline & Partners, qui les expose.

Le 29 février 2016, la Commission européenne a publié le projet de décision d’adéquation constituant un nouveau cadre pour les échanges transatlantiques des données personnelles: l’UE-U.S. Privacy Shield, qui vise à remplacer l´ancienne décision de la Commission européenne du 26 juillet 2000, dite « Safe Harbour », invalidée par la Cour de justice de l’Union européenne le 6 Octobre 2015, dans l´arrêt « Maximillian Schrems ». A la suite de la publication de l´accord par la Commission européenne, le Groupe de travail Article 29, qui regroupe les CNIL européenne (le G29,) s´est prononcé, par l´avis du 13 avril 2016, sur la conformité du nouvel accord à la législation européenne relative à la protection des données.

L´objectif de l´avis du G 29 du 13 avril 2016 était de déterminer si les flux transatlantiques sont suffisamment encadrés par l´accord conclu entre l´Union européenne et les États-Unis le 2 février 2016, dit « Privacy Shield ». Au demeurant, la question s´était posée de savoir si les transferts des données transatlantiques qui seront effectués dans le cadre du « Privacy Shield » respecteront l´arrêt de la Cour de justice du 6 octobre 2015 (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner) et notamment l´exigence d´un niveau de protection équivalent à celui assuré par la législation européenne.

A cet effet, le G 29 a mené son évaluation à la lumière du cadre juridique européen applicable en matière de protection des données (Directive 95/46/EC), ainsi que des droits fondamentaux à la vie privée et à la protection des données garantis tant par la Convention européenne des droits de l’Homme (Article 8) que par la Charte des droits fondamentaux de l’Union européenne (Articles 7 et 8). Le Groupe a aussi pris en compte le droit à un recours effectif et le droit d´accès à un tribunal impartial consacrés par l´article 47 de la Charte des droits fondamentaux de l´Union européenne.

Un accord manquant de clarté

En premier lieu, le G29 a déploré que le texte Privacy Shield soit réparti sur plusieurs documents. En effet, les dispositions du Privacy Shield se retrouvent à la fois dans le projet de décision d´adéquation et dans ses annexes, ce qui rend l’analyse complexe et contribue à un manque général de clarté.

Dans la même veine, le Groupe a contesté le manque de clarté du langage employé. En effet, l´accord utilise une terminologie qui n´est pas compatible avec le vocabulaire sur la protection des données utilisé généralement dans l´Union européenne. Par exemple, le texte de l´accord ne fait pas de distinction entre l´accès aux données par les responsables du traitement et le droit d´accès des individus à leurs données, qui sont pourtant deux notions qui ne devraient pas être confondues. Afin d´améliorer la clarté et la compréhension du projet de décision d´adéquation et de ses annexes, le G 29 a suggéré d´inclure une annexe distincte offrant la définition des termes-clés utilisés dans le Privacy Shield.

Un accord manquant de précision

Malgré les améliorations offertes par le Privacy Shield, le G 29 considère que certains principes-clés de la protection des données tels que consacrés dans la législation européenne ne sont pas reflétés dans l´accord, ou ont été insuffisamment substitués par des notions alternatives.

Par exemple, le principe de limitation de la durée de conservation des données, consacré par l´article 6, §1, sous e) de la Directive 95/46/EC, n´est pas expressément mentionné et ne peut pas être clairement interprété à la lumière du libellé actuel du principe d’intégrité des données et du principe de limitation de la finalité. En ce sens, le Groupe de travail a souligné que l’absence de dispositions imposant une limite à la conservation des données sous le Privacy Shield donne aux responsables de traitement la possibilité de conserver les données aussi longtemps qu’ils le souhaitent, même après avoir quitté le cadre du Privacy Shield, ce qui n´est pas en conformité avec le principe de limitation de la conservation des données.

Un encadrement relatif des dérogations à des fins de sécurité nationale

L’évaluation des dérogations concernant l´accès des autorités publiques aux données transférées est complexe, particulièrement dans un contexte de prise de conscience croissante des autorités de protection des données et du grand public de la mise en place des programmes de surveillance par les autorités américaines. Ainsi, le G29 a souligné que dans une société démocratique, toute limitation du droit fondamental au respect de la vie privée doit être justifiée. Pour cette raison, la Cour de justice a critiqué, dans l´arrêt « Schrems » (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner), le fait que la décision de la Commission européenne du 26 juillet 2000, dite « Safe Harbor », ne contenait aucune disposition quant à l’existence, aux États-Unis, des règles destinées à limiter toute interférence dans la vie privée des personnes.

Afin de déterminer si le Privacy Shield a apporté des remèdes aux critiques de l´arrêt « Schrems », le Groupe a mené son évaluation à la lumière de la jurisprudence européenne (V. en ce sens : CJUE, 8 avril 2014, affaire C-293/12, Digital Rights Ireland et Seitlinger e.a.) sur les droits fondamentaux fixant quatre garanties essentielles à respecter dans le cadre des activités de renseignement :

–        le traitement doit reposer sur des règles claires, précises et compréhensibles : toute personne doit être informée du transfert de ses données ;

–        la proportionnalité au regard de la finalité poursuivie doit être démontrée : un équilibre doit être trouvé entre les impératifs de sécurité publique et les droits des individus ;

–        l´existence d´un mécanisme de contrôle indépendant ;

–        l´existence d´un recours effectif ouvert aux citoyens.

En ce sens, le G29 considère qu´une amélioration considérable a été acquise par le Privacy Shield, qui par rapport au Safe Harbor, mentionne expressément et aborde d´une manière exhaustive l´hypothèse de l´accès par les autorités américaines aux données en provenance de l´Union européenne à des fins de sécurité nationale. Le Groupe a salué également la garantie de transparence accrue offerte par l’administration des Etats-Unis en ce qui concerne la législation applicable à la collecte des données de renseignement.

Le Groupe a noté toutefois que les représentants de l’Office américain du directeur du renseignement national continuent à mettre en place une collecte massive et indifférenciée des données à caractère personnel en provenance de l´Union européenne. Or, la surveillance massive et indifférenciée des individus ne peut être considérée proportionnée et strictement nécessaire dans une société démocratique et, dès lors, la mise en place d´une telle collecte ne respecte pas la législation européenne sur la protection des données.

La désignation d´une « Ombudsperson »

Par ailleurs, le G29 a salué la mise en place d’un médiateur (Ombudsperson). Ce mécanisme de recours prévu par le projet de décision d´adéquation devrait améliorer considérablement les droits des citoyens européens vis-à-vis des activités des services de renseignement américains. Néanmoins, le G29 doute que le médiateur dispose d’une indépendance et de pouvoirs suffisants pour exercer son rôle efficacement et qu’il permette d’obtenir un recours satisfaisant en cas de désaccord avec l’administration.

La mise en place d´un réexamen conjoint

L´institution d´un mécanisme de réexamen conjoint de l´application pratique du Privacy Shield par le projet de décision d´adéquation n´est que bienvenue. Ainsi, le mécanisme de réexamen annuel conjoint sera un facteur clé pour la crédibilité globale du Privacy Shield. Il va permettre la vérification du respect de la législation européenne sur la protection des données dans le cadre des transferts transatlantiques, d´autant plus que les représentants des autorités nationales de protection des données auront la possibilité de participer à ce mécanisme.

La révision du projet de décision d´adéquation par rapport au nouveau Règlement sur la protection des données

Enfin, une révision devra être effectuée à la lumière du Règlement général sur la protection des données adopté par le Parlement européen le 14 avril 2016 et qui entrera en vigueur le 24 mai 2016. A cet égard, le G29 a proposé l’insertion d’une clause de révision afin que le Privacy Shield prenne en compte le niveau élevé de protection qui sera garanti par le nouveau règlement européen sur les données quand celui-ci entrera en application.

En conclusion, le G29 a constaté des améliorations considérables apportées par le Privacy Shield par rapport au Safe Harbor. Même si la Commission européenne n´est pas liée par l´avis du G29, il est certain que face aux risques d´invalidation de la nouvelle décision d´adéquation par la Cour de justice, les préoccupations exprimées par la G 29 seront prises en compte.

Après l´avis du « G29 », le projet de décision d´adéquation sera examiné par les États membres dans le cadre de la procédure de « comitologie », en conformité avec l’article 31 de la directive 95/46 / CE.

Pendant la période d´adoption de la nouvelle décision d´adéquation, les autres outils de transfert tels que BCR (règles internes d´entreprise) ou les clauses contractuelles type pourront être utilisés par les entreprises.

 

Autre avis juridique sur le même thème :

Accord “Privacy Shield“ : les CNIL européennes se prononcent

Notez cet article

Laisser un commentaire

Contrôler les accès des prestataires externes à votre SI

18% des principales brèches de sécurité sont attribuées à un prestataire. Améliorer la visibilité et le contrôle sur les accès à privilèges avant, pendant et après l’intervention de prestataires est un enjeu majeur de sécurité informatique.

Lire le livre blanc

Sondage

Attaques cyber: les DSI prennent-elles trop de temps pour mettre en place les mises à jour Windows ?

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Blockchain : quel potentiel pour les smart contracts ?

    La technologie de la blockchain se développe dans de nombreux secteurs d’activité très diversifiés, de…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Les multiples facettes d’un projet de gestion de la relation clients (avis d'expert)

    Les clients représentent les principaux assets des entreprises et nécessitent de la part de ces…

    > En savoir plus...
Etudes/Enquêtes
  • Etude #Email : 2 français sur 5 ouvrent leurs mails, poussés par la curiosité (Infographie)

    Les Français reçoivent quotidiennement près d’une centaine de mails dans leurs boîtes de réception. Difficile…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • LA FIDÉLISATION 3.0 : TRANSACTIONS, INTERACTIONS & ÉMOTIONS

    > Voir le livre
  • L’ e-paiement, à l’heure de l’expérience client

    > Voir le livre
elo_processus pointe_skyscraper