Le 23 octobre dernier, la Commission européenne a publié son rapport sur le 3ème examen annuel du fonctionnement du bouclier de protection des données UE-USA, plus connu sous nom de Privacy Shield. Depuis le 2ème examen, la Commission a noté plusieurs améliorations dans la gestion du transfert des données personnelles des Européens vers les Etats-Unis.
Le Privacy Shield, ou bouclier de protection des données Europe/Etats-Unis, est entré en vigueur le 1er août 2016. Il s’agit d’un mécanisme d’auto-certification pour les entreprises établies outre-Atlantique qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux Etats-Unis.
Garantir un niveau de protection des données adéquat
Le privacy Shield a été élaboré par la Commission européenne et le Département du commerce américain pour remplacer la décision Safe Harbor, invalidée par la Cour européenne de Justice en octobre 2015. La Commission s’est engagée à procéder à un examen annuel du dispositif afin de s’assurer qu’il continue de garantir un niveau de protection adéquat des données à caractère personnel.
En 2018, quelques semaines avant le 2ème examen annuel, la Commission européenne avait mis en garde les Etats-Unis. Dans un courrier adressé au secrétaire du commerce américain, Vera Jourova, commissaire pour la justice, les consommateurs et l’égalité des genres, réclamait alors des progrès sur les dossiers liés au Privacy Shield. Les mises en garde européennes semblent avoir porté leurs fruits. En effet, l’examen annuel de 2019 a salué les progrès accomplis et dégagé des postes d’amélioration.
Un engagement partagé entre l’Europe et les Etats-Unis
« De hauts fonctionnaires du gouvernement américain et de la Commission européenne ainsi que les autorités chargées de la protection des données dans l’UE se sont réunis à Washington ces 12 et 13 septembre pour procéder au 3ème examen annuel conjoint du cadre du bouclier de protection des données UE/Etats-Unis. La participation à la fois large et de haut niveau des deux parties a souligné l’engagement partagé et de longue date des Etats-Unis et de l’Union européenne en faveur du cadre », ont expliqué Wilbur Ross, secrétaire américain au Commerce et Vera Jourova dans une déclaration commune.
Depuis le 2ème examen annuel, plusieurs améliorations ont été apportées au fonctionnement du cadre. Des nominations ont été effectuées dans des organismes clés de surveillance et de recours comme celle du médiateur du Privacy Shield. « L’examen s’est concentré sur les enseignements tirés de sa mise en œuvre et de sa fonctionnalité quotidienne. Aujourd’hui quelques 5000 sociétés participent à ce cadre de protection des données UE-USA », s’est félicitée la Commission européenne.
Protection des données : l’UE salue les progrès accomplis
Parmi les améliorations relevées, ce nouvel examen du Privacy Shield a notamment noté que le ministère américain du commerce assure la surveillance nécessaire de manière plus systématique. Il procède par exemple à des vérifications mensuelles auprès d’un échantillon de sociétés pour contrôler le respect des principes du bouclier de protection des données.
« Tant les fonctionnaires américains que les fonctionnaires européens ont souligné la nécessité de veiller à une application rigoureuse et crédible des règles en matière de vie privée pour protéger nos citoyens et instaurer la confiance dans l’économie numérique. Comme le prévoit le cadre, le ministère du commerce retirera la certification des entreprises qui ne se conforment pas aux conditions strictes de protection des données prévues par le bouclier », ont déclaré Wilbur Ross et Vera Jourova.
Les recommandations de l’UE pour renforcer le cadre du bouclier
Si la Commission européenne reconnait que l’action répressive s’est améliorée grâce aux mesures adoptées pour faire appliquer les principes du bouclier, elle recommande cependant que certaines mesures soient prises pour mieux assurer son fonctionnement dans les faits. Du côté européen, il est nécessaire de renforcer le processus de (re)certification. Cela passe notamment par un élargissement les contrôles de conformité. La Commission préconise également d’élaborer des orientations supplémentaires pour les sociétés liées aux données relatives aux ressources humaines.
En outre, la Commission européenne attend aussi de la part des Etats-Unis, et plus spécifiquement de la commission fédérale du commerce, un renforcement des enquêtes sur la conformité « avec les exigences de fond du bouclier de protection des données ».