En juillet 2018, la Commission européenne a appelé les Etats-Unis à tenir leurs engagements vis-à-vis du Privacy Shield. Quelques mois plus tard, le 19 décembre, elle a publié son rapport sur le deuxième examen annuel du fonctionnement du bouclier de protection des données UE-USA. Si Bruxelles a enregistré un certain nombre d’améliorations, des efforts restent à fournir outre-Atlantique.
La décision relative au bouclier de protection des données entre l’Union européenne et les Etats-Unis a été adoptée le 12 juillet 2016. Le cadre du Privacy Shield, entré en vigueur le 1er août de la même année, protège les droits fondamentaux des citoyens européens dont les données personnelles sont transférées à des fins commerciales vers des sociétés certifiées aux Etats-Unis.
Des améliorations enregistrées par l’Europe
La Commission s’est engagée à procéder à un examen annuel du dispositif. Après le 1er qui a eu lieu en 2017, Bruxelles a formulé un certain nombre de recommandations afin d’améliorer encore le fonctionnement pratique du bouclier de protection des données. Le rapport de l’examen de 2018 a conclu que les Etats-Unis continuaient d’assurer un niveau adéquat de protection des données à caractère personnel. D’après l’UE, les mesures prises par les autorités américaines pour mettre en œuvre les recommandations de la Commission en 2017 ont permis d’améliorer le fonctionnement du cadre.
D’une manière générale, le Privacy Shield est « un succès », s’est félicité Andrus Ansip, commissaire européen en charge du marché numérique unique. « Plus de 3850 sociétés ont reçu une certification […]. Ce dispositif fournit un cadre opérationnel permettant d’améliorer et de renforcer continuellement le fonctionnement du bouclier de protection des données ».
En 2017, l’Europe avait formulé certaines recommandations. Le renforcement par le ministère du commerce américain du processus de certification et de la surveillance proactive du cadre figure sur la liste des améliorations notées par l’Europe en 2018. Les Etats-Unis ont mis en place plusieurs mécanismes, et notamment le système de contrôles, qui sélectionne les sociétés de manière aléatoire pour vérifier qu’elles respectent les principes du Privacy Shield.
Assurer des relations UE/USA fiables
Mais l’UE n’est pas encore pleinement satisfaite. En effet, elle attend désormais que Washington désigne un médiateur permanent. Ce dernier sera chargé de veiller à ce que les plaintes concernant l’accès par les autorités américaines aux données personnelles soient traitées. « Nous attendons maintenant de nos partenaires américains qu’ils nomment un médiateur à titre permanent, de manière à ce que nous puissions être certains que les relations entre l’UE et les Etats-Unis en matière de protection des données soient tout à fait fiables », a déclaré Andrus Ansip.
« L’Union européenne et les Etats-Unis sont confrontés à des défis communs croissants dans le domaine de la protection des données à caractère personnel, comme en témoigne le scandale Facebook/Cambridge Analytica. Le bouclier de protection des données est un moyen de mener un dialogue qui devrait contribuer à terme à la convergence de nos systèmes, sur la base de droits horizontaux solides et une mise en œuvre rigoureuse et indépendante », a indiqué Vera Jourova, Commissaire chargée de la justice, des consommateurs et de l’égalité des genres.
« Une telle convergence renforcerait, en fin de compte, les fondements sur lesquels repose le bouclier de protection des données. Dans l’intervalle, tous les éléments du bouclier doivent fonctionner à plein régime, y compris le médiateur », a-t-elle ajouté.
Et maintenant ?
Le rapport sera transmis au Parlement européen, au Conseil et au comité européen de la protection des données, ainsi qu’aux autorités américaines. La Commission européenne attend du gouvernement américain qu’il propose, au plus tard le 28 février 2019, un candidat pour le poste de médiateur à titre permanent. S’il ne le fait d’ici là, la Commission envisagera de prendre des mesures appropriées, conformément au règlement général sur la protection des données.