Depuis plus d’un an vous entendez peut être parler de la non-conformité du « Safe Harbor » à certaines dispositions européennes ou encore, d’un cadre incertain concernant les modalités d’échanges de données entre les USA et l’Union Européenne… Afin de mettre fin à ce flou, un nouveau dispositif appelé le « Privacy Shield » a été élaboré par les USA et validé par l’UE. Nous vous proposons de revenir sur ce nouveau cadre en quelques lignes.

1. Procédure en bref

Le « Privacy Shield » est entré en vigueur le 1er août 2016 et remplace « Safe Harbor » dans le but de mieux sécuriser l’envoi des données à caractère personnel de l’UE vers les USA.

Comme l’indique le site de la CNIL, « les entreprises établies en France souhaitant transférer des données vers les USA doivent effectuer une déclaration normale CNIL en renseignant son annexe transfert. A cette occasion, elles pourront choisir de cocher la case « Privacy Shield » parmi la liste des garanties encadrant le transfert des données, après avoir vérifié que l’entreprise destinataire des données est effectivement enregistrée comme telle auprès de l’administration américaine. »

Cette inscription doit être renouvelée tous les ans et peut être vérifiée à partir du site Internet https://www.privacyshield.gov/

La CNIL rappelle, qu’il est toujours possible « de recourir aux autres garanties prévues par la règlementation européenne pour transférer des données en dehors de l’Union européenne, à savoir :

a). la signature de clauses contractuelles rédigées sur les modèles de clauses adoptées par la Commission européenne.

b). l’adoption de règles d’entreprises contraignantes (« Binding corporate rules») ».

2. Les obligations des entreprises inscrites à la liste « Privacy Shield »

Ces entreprises doivent respecter les « principes de protection de la vie privée » (Privacy Principles) et ont les obligations suivantes :

a). L’obligation d’informer les personnes notamment sur :

les types de données traitées, les raisons du traitement de ces données, l’intention de transférer ces données et les motifs de ce transfert, les options « opt-out » et « opt-in », la façon de contacter la société, l’organisme indépendant de règlement des litiges pour introduire une réclamation, l’agence gouvernementale aux États-Unis chargée d’enquêter sur le respect des obligations de la société, la politique de confidentialité de la société, le lien vers Privacy Shield list.

b). Si l’entreprise transfère les données à une autre société (« mandataire ») elle doit signer avec le mandataire un contrat obligent celui-ci à fournir les mêmes garanties en matière de protection des données que celles qui sont établies par Privacy Shield. La société peut être tenue responsable des actions de son mandataire si celui-ci ne respecte pas les règles.

c). La société ne peut recevoir et traiter des données à caractère personnel que si elles sont pertinentes aux fins du traitement et elle doit veiller à ce que les données utilisées soient exactes, fiables, complètes et à jour. Elle est autorisée à conserver les données à caractère personnel uniquement pendant le temps nécessaire aux fins du traitement.

d). L’obligation d’assurer la sécurité des données et de les protéger si elles sont transférées à une autre société.

e). Le droit d’accéder aux données et de les rectifier. La société peut limiter le droit d’accès uniquement dans les cas déterminés par exemple si l’octroi de l’accès aux données compromet la confidentialité, viole le secret professionnel ou est incompatible avec les obligations légales.

f). Si l’entreprise ne respecte pas les règles de protection des données et viole son obligation de protéger les données, la personne physique a le droit d’introduire une réclamation et d’obtenir réparation, à titre gratuit auprès de:

1. la société adhérant à Privacy Shield elle-même;
2. un mécanisme de recours indépendant, tel que l’ADR ou une DPA;
3. le ministère américain du commerce, uniquement par l’intermédiaire d’une DPA;
4. la Commission fédérale du commerce des États-Unis;
5. le comité Privacy Shield Panel, mais uniquement si un ensemble d’autres moyens de recours ont déjà échoué.

Vous pouvez trouver plus amples informations concernant le Privacy Shield via le lien suivant :

http://ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_fr.pdf