L’accord « Privacy Shield »

Adopté le 12 juillet 2016, l’accord Privacy Shield encadre le transfert 154 des données personnelles des citoyens européens vers des centres

de données (data centers) situés aux États-Unis. Il repose sur un mécanisme volontaire de co-régulation et d’autocerti�cation par les entreprises concernées. Les autorités américaines s’engagent à surveiller les pratiques des sociétés béné�ciant de cet accord, à cor-riger les abus et à sanctionner les entreprises fautives, y compris en matière pénale.

L’accord Privacy Shield vise à renforcer la protection juridique des 155 personnes se trouvant hors des États-Unis, contre l’accès illégal

des autorités américaines et des entreprises à ces informations. Le département d’État a créé un poste de médiateur pour traiter les plaintes provenant d’Europe. Mais cela ne saurait se confondre avec

95. P�������� ������, Suppression du Safe Harbor USA-UE en matière de protec-tion des données. Quelles conséquences pour la Suisse ?, in : Le Parlement suisse (https ://www.parlament.ch/), Berne 2015, p. « https : / / www. parlament . ch / fr / ratsbetrieb / suche - curia - vista / geschaeft ? A�airId = 20151068 » (27/10/2018).

96. PFPDT, Swiss-US Privacy Shield : un nouveau cadre pour la transmission des données aux États-Unis, in : Le Conseil fédéral (https ://www.edoeb.admin.ch/), Berne 2017, p. « https://www.edoeb.admin. ch/edoeb/fr/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins- ausland/datenuebermittlung-in-die-usa/swiss-us-privacy-shield--neuer-rahmen-fuer-datenuebermittlungen-.html » (27/10/2018).

97. PFPDT, 24ème Rapport d’activités sur la protection des données, in : Le Conseil fédéral (https ://www.edoeb.admin.ch/), Berne 2017, p. « https : / / www . edoeb.admin.ch/edoeb/fr/home/documentation/rapports-d-activites/25--taetigkeitsbericht-2017-2018.html » (27/10/2018).

le recours judiciaire qui est indépendant et a été exigé par la Cour de Justice.

Les services de renseignement et de police américains continueront 156

d’intercepter et d’exploiter les données personnelles venues d’Eu-rope, notamment dans les a�aires de « sécurité nationale » (contre-espionnage, terrorisme, armes de destruction massive, etc.), « d’in-térêt public » et de crime organisé. Elles pourront les garder cinq ans. La décision d’exécution de la Commission dresse la liste ex-haustive des instances et des mesures techniques, administratives et judiciaires censées empêcher les Américains de répéter les pra-tiques révélées par Edward Snowden 98. Des garanties sont o�ertes aux citoyens 99.

L’accord Privacy Shield a été reconnu par la Commission euro-157

péenne comme o�rant des garanties su�santes pour transférer des données entre l’UE et les États-Unis, en vertu de la décision d’adé-quation du 12 juillet 2016. Dès le 1er août 2016, les entreprises amé-ricaines ont pu con�rmer leur adhésion à l’accord Privacy Shield. Les principes de cet accord s’inscrivent dans le prolongement de 158

l’accord Safe Harbor. De nouvelles restrictions et de nouveaux mé-canismes de recours juridictionnels sont néanmoins apparus pour les citoyens européens. Le Privacy Shield intègre en outre des enga-gements du gouvernement américain concernant l’accès des autori-tés publiques américaines aux données personnelles en provenance de l’UE.

L’accord Privacy Shield fait apparaître sept nouveaux principes ainsi 159

que seize principes additionnels.

— Obligation d’information détaillée : Les politiques de

con�-98. C��������� ����������, Décision d’exécution (UE) 2016/1250 de la Com-mission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (C(2016) 4176), in : EUR-Lex (https ://eur-lex.europa.eu/), Bruxelles 2016, p. « http://eur-lex.europa.eu/ legal-content/FR/TXT/?uri=CELEX%3A32016D1250 » (03/06/2017). 99. C��������� ����������, La Commission européenne présente le paquet

« bouclier de protection des données UE-États-Unis » : des garanties solides pour restaurer la con�ance dans les transferts transatlantiques de données - Communiqué de presse du 29 février 2016, in : Commission européenne (https ://ec.europa.eu/), Bruxelles 2016, p. « https : / / ec . europa . eu / commission/presscorner/detail/fr/IP_16_433 » (21/03/2020).

§1. Le contexte historique et politique

dentialité des entreprises adhérant au Privacy Shield doivent inclure treize types d’informations impératives.

— Droit d’opposition renforcé : Les citoyens européens doivent pouvoir s’opposer à la communication de leurs données à des tiers ou à une utilisation de ces données, pour une �nalité «matériellement di�érente» de la �nalité pour laquelle elles ont été collectées.

— Strict encadrement des transferts ultérieurs : les entreprises adhérant au Privacy Shield doivent encadrer les transferts ul-térieurs de données vers d’autres entreprises comme leurs sous-traitants (sur une base contractuelle).

— Qualité des données et �nalité du traitement : les entreprises certi�ées doivent se limiter à traiter les données qui sont adé-quates, pertinentes et non excessives pour les �nalités du traitement et ne les traiter que pendant la durée n’excédant pas la durée nécessaire à la réalisation des �nalités pour les-quelles les données ont été collectées. Le projet initial du Rè-glement prévoyait à l’article 13 a que la personne concernée devait être informée si les données collectées étaient traitées pour d’autres �nalités que celles de la collecte et si les don-nées collectées allaient être transférées à des tiers, vendues et si elles étaient chi�rées. La proposition prévoyait une repré-sentation des données à caractère personnel sous la forme de pictogrammes visuels, indiquant également si les exigences du Règlement étaient ou non remplies (croix rouge ou verte) 100. Cette disposition ne �gure plus dans la version dé�nitive du Règlement.

— Renforcement des droits des citoyens européens : les per-sonnes concernées en Europe peuvent demander l’accès aux données personnelles traitées les concernant ainsi que des informations à l’origine d’une décision produisant des e�ets juridiques à leur égard et qui a été prise sur le seul fondement d’un traitement automatisé de données (credit score 101).

100. F������� Tobias, Die Einwilligung im Datenschutzrecht Vorgaben einer völker- und verfassungsrechtlich konformen Ausgestaltung der datenschutz-rechtlichen Einwilligung im schweizerischen Recht, thèse, Freiburg 2017, p. 153.

101. B��� Richard, Scoring als Methode zur Entscheid�ndung, in : Digma : Zeit-schrift für Datenrecht und Informationssicherheit 2007 7/2, pp. 68-71.

— Moyens de recours des personnes concernées contre les en-treprises américaines adhérant au Privacy Shield : les per-sonnes concernées peuvent déposer une plainte directement auprès de l’entreprise, ou auprès des autorités de contrôle en Europe, qui travaillent en coopération avec les autorités américaines compétentes. Les personnes concernées peuvent également faire usage d’un mécanisme alternatif de résolu-tion des con�its.

— Suppression des données : une entreprise américaine qui dé-ciderait de ne plus adhérer au Privacy Shield doit supprimer les données collectées dans le cadre de son adhésion précé-dente ou s’engager à les utiliser dans le respect des principes du Privacy Shield.

Le site de l’Accord Privacy Shield indique que plus de 1750 entre-160

prises américaines ont adhéré à l’accord Privacy Shield depuis le 1er août 2016 102.

Pour le rapporteur du Règlement, Jan-Philipp Albrecht, les garan-161

ties o�ertes aux citoyens européens restent faibles 103 d’où les cri-tiques postérieures de l’accord Privacy Shield. Il propose de pri-vilégier des mesures de sécurité, incorporées en tant que mesures techniques et organisationnelles lors des transferts de données eu-ropéennes vers les États-Unis.

L’accord Privacy Shield fait l’objet de deux recours en annulation 162

près la CJUE de la part de Digital Rights Ireland 104 et de la Quadra-ture du Net (Arrêt CJUE, La QuadraQuadra-ture du Net et autres c. Commis-sion, T-738/16). Les conclusions de l’avocat général sont attendues en décembre 2019.

II. L’e�ectivité du droit fondamental à la

protection des données

Malgré l’espoir nourri par le Règlement et sa valeur contraignante 163

dans l’UE, deux événements de l’année 2017 sont venus rappeler

102. P������ S����� F��������, Welcome to the Privacy Shield, in : Privacy Shield Framework (https ://www.privacyshield.gov/), Washington D.C. s.a., p. « https://www.privacyshield.gov/welcome » (21/03/2020).

103. A������� Jan Philipp, La ruée vers les datas, in : Arte, Bruxelles 2016. 104. Arrêt CJUE du 22 novembre 2017, Digital rights Ireland c. Commission,

T-670/16, ECLI :EU :T :2017 :838, consid. 20; Arrêt CJUE, La Quadrature du Net et autres c. Commission, T-738/16, ECLI :EU :T :2018 :520, consid. 1.

§1. Le contexte historique et politique

que l’e�ectivité du droit fondamental à la protection des données restait fragile et pouvait rapidement être remise en question.