La Commission européenne et les États-Unis s’accordent sur un nouveau cadre pour les transferts transatlantiques de données, le « bouclier vie privée UE-États-Unis »
Strasbourg, le 2 février 2016
La Commission européenne et les États-Unis se sont accordés sur un nouveau cadre pour les transferts transatlantiques de données, le « bouclier vie privée UE-États-Unis »
Le collège des commissaires a approuvé aujourd’hui l’accord politique et a chargé M. Andrus Ansip, vice-président de la Commission, et la commissaire européenne, Mme Věra Jourová, de préparer les étapes nécessaires à la mise en place du nouveau dispositif. Ce nouveau cadre vise à protéger les droits fondamentaux des citoyens de l’Union lorsque leurs données sont transférées vers les États-Unis et à apporter une sécurité juridique aux entreprises.
Le « bouclier vie privée UE-États-Unis » (EU-US Privacy Shield) tient compte des exigences énoncées par la Cour de justice de l’Union européenne dans son arrêt du 6 octobre 2015, qui a déclaré invalide l’ancien régime de la sphère de sécurité (Safe Harbour). Le nouveau dispositif oblige les entreprises américaines à mieux protéger les données à caractère personnel des citoyens européens et prévoit un renforcement du contrôle exercé par le ministère américain du commerce et la Federal Trade Commission (FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données. Dans le cadre de ce nouveau dispositif, les États-Unis s’engagent à ce qu’en vertu du droit américain, l’accès des autorités publiques aux données à caractère personnel transmises soit subordonné à des conditions, des limites et une supervision bien définies, empêchant un accès généralisé. Les Européens auront la possibilité d’adresser des demandes d’information à un médiateur spécialement désigné à cette fin et de lui soumettre des plaintes.
M. Andrus Ansip, vice-président de la Commission européenne, a déclaré : « Nous nous sommes accordés sur un nouveau cadre solide pour les flux de données vers les États-Unis. Nos concitoyens peuvent avoir la certitude que leurs données à caractère personnel seront bien protégées. Nos entreprises, notamment les plus petites, bénéficieront de la sécurité juridique dont elles ont besoin pour développer leurs activités de l’autre côté de l’Atlantique. Nous avons le devoir de nous assurer du bon fonctionnement du nouveau dispositif et de veiller à ce qu’il tienne ses promesses sur la durée. La décision prise aujourd’hui nous aidera à créer un marché unique du numérique dans l’Union, un environnement en ligne fiable et dynamique ; elle renforce encore notre partenariat privilégié avec les États-Unis. Nous allons maintenant œuvrer pour mettre ce cadre en place dès que possible. »
La commissaire Věra Jourová a déclaré : « Le nouveau dispositif protégera les droits fondamentaux des citoyens européens lorsque leurs données à caractère personnel seront transférées vers des entreprises américaines. Pour la toute première fois, les États-Unis ont formellement garanti à l’Union que l’accès des autorités publiques à des fins de sécurité nationale sera subordonné à des conditions, des garanties et des mécanismes de supervision bien définis. Pour la première fois également, les citoyens de l’Union disposeront de voies de recours dans ce domaine.Dans le contexte des négociations sur cet accord, les États-Unis ont donné l’assurance qu’ils ne se livraient à aucune surveillance de masse à l’égard des Européens. Enfin, l’accord prévoit un réexamen annuel conjoint afin de suivre de près la mise en œuvre de ces engagements ».
Le nouveau dispositif comportera les éléments suivants :
des obligations strictes pour les entreprises qui traitent des données à caractère personnel européennes, et un contrôle rigoureux : les entreprises américaines qui souhaitent importer des données à caractère personnel provenant d’Europe devront s’engager à respecter des conditions strictes quant au traitement de ces données et garantir les droits des individus. Le ministère américain du commerce veillera à ce que les entreprises publient leurs engagements, ce qui les rendra opposables au regard de la loi américaine et permettra à la FTC de contraindre les entreprises à les respecter. Par ailleurs, toute entreprise traitant des données provenant d’Europe relatives aux ressources humaines devra s’engager à se conformer aux décisions des autorités européennes chargées de la protection des données ;
un accès par les autorités américaines étroitement encadré et transparent : pour la première fois, les États-Unis ont garanti par écrit à l’Union européenne que l’accès par les autorités publiques américaines à des fins d’ordre public et de sécurité nationale sera soumis à une supervision, des limites et des garanties bien définies. De telles exceptions devront être appliquées de manière proportionnée, et uniquement dans la mesure où elles sont nécessaires. Les États-Unis ont exclu qu’une surveillance de masse soit exercée sur les données à caractère personnel transférées vers les États-Unis dans le cadre du nouveau dispositif. Pour contrôler régulièrement le fonctionnement de l’accord, un réexamen conjoint aura lieu tous les ans, qui portera également sur la question de l’accès à des fins de sécurité nationale. Ce réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels inviteront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données à y participer ;
une protection effective des droits des citoyens de l’Union et plusieurs voies de recours : tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du nouveau dispositif aura plusieurs possibilités de recours. Les entreprises devront répondre aux plaintes dans des délais définis. Les autorités européennes chargées de la protection des données pourront transmettre des plaintes au ministère américain du commerce et à la FTC. Le recours aux mécanismes de règlement extrajudiciaire des litiges sera gratuit. Pour les plaintes concernant un éventuel accès par des services de renseignement nationaux, un nouveau médiateur sera institué.
Prochaines étapes
Le Collège a chargé M. Ansip et Mme Jourová d’élaborer un projet de « décision sur le caractère adéquat » dans les semaines à venir, que le Collège pourrait adopter après avoir obtenu l’avis du groupe de travail « Article 29 » et consulté un comité composé de représentants des États membres. Dans l’intervalle, les États-Unis prendront les dispositions nécessaires à la mise en place du nouveau cadre, des mécanismes de contrôle et du nouveau médiateur.
Contexte
Le 6 octobre dernier, la Cour de justice a déclaré, dans l’affaire Schrems, que la décision de la Commission relative à l’accord sur la sphère de sécurité n’était pas valide. L’arrêt a ainsi confirmé l’approche adoptée par la Commission depuis novembre 2013 en vue d’une révision de l’accord sur la sphère de sécurité, afin de garantir concrètement un niveau suffisant de protection des données, équivalent à celui exigé par le droit de l’Union.
Le 15 octobre, M. Andrus Ansip, vice-président de la Commission européenne, et les commissaires européens Günther Oettinger et Věra Jourová ont rencontré des représentants d’entreprises et de secteurs concernés qui ont demandé une interprétation claire et uniforme de l’arrêt, ainsi que des précisions sur les instruments qu’ils ont le droit d’utiliser pour transmettre des données.
Le 16 octobre, les 28 autorités nationales chargées de la protection des données (réunies au sein du groupe de travail « Article 29 ») ont publié une déclaration sur les conséquences de l’arrêt.
Le 6 novembre, la Commission a publié des orientations à l’intention des entreprises sur les possibilités de transferts transatlantiques de données à la suite de l’arrêt, dans l’attente de la mise en place d’un nouveau cadre.
Le 2 décembre, le collège des commissaires a examiné l’état d’avancement des négociations. Mme Věra Jourová a été chargée de poursuivre les négociations avec les États-Unis en vue de définir un cadre renouvelé et sûr pour les transferts de données à caractère personnel.