Privacy shield : acte II à partir de septembre 2017

A la suite à la décision d’invalidation de la CJUE du 6 octobre 2015 portant sur l’accord de Safe Harbour, le Privacy Shield adopté en juillet 2016 permet aux entreprises européennes de sécuriser le transfert de leurs fichiers de données personnelles vers les Etats Unis. 

Pourtant, les dispositions du Privacy Shield n’avaient pas emporté une conviction unanime, notamment des différents organismes de contrôle et de surveillance dont la CNIL et le G29 ainsi que le Parlement Européen. Dès lors, il avait été convenu que le texte initial du Privacy Shield serait revu au bout d’une année, pour tenir compte des difficultés pratiques ou juridiques rencontrées par les parties prenantes.

Cette première revue annuelle aura lieu en septembre 2017 à Washington (DC). C’est une étape très sensible à plusieurs titres.  

D’une part les autorités de contrôle et de surveillance, tant européennes qu’américaines, vont passer au crible les opérations de transfert intervenues pendant cette période, pour s’assurer que le fameux « niveau de protection adéquat » a été respecté. En effet, les organisations (publiques ou privées) « certifiées » Privacy Shield se sont engagées, sur la base principalement d’une auto-certification (telle que prévalant déjà sur le régime abrogé du Safe Harbour), à respecter les principes de protection des données personnelles (information de la personne concernée, intégrité, sécurité, accès, coopération avec les autorités de contrôle…).

Ensuite, de nombreux opérateurs européens réalisant ces transferts transatlantiques de données personnelles continuent d’utiliser de préférence les « Clauses Contractuelles Type » de la Commission Européenne pour les encadrer et répondre ainsi à l’incertitude pesant sur certains points du Privacy Shield. 

Enfin, comme cela a été souvent souligné ces derniers temps, il est nécessaire d’apprécier dans quelle mesure l’Administration Trump continuera de respecter l’un des points les plus sensibles mis en avant par les Européens, à savoir l’accès aux données personnelles par les autorités américaines compétentes pour des motifs de sécurité nationale.

Plus de 2.000 entreprises américaines ont déjà souscrit aux principes du Privacy Shield. Leurs apports et critiques (en sus de ceux en provenance des autorités de contrôle et du Parlement Européen) seront essentiels pour faire en sorte que la stabilité de cette régulation soit aussi robuste que possible pour assurer la confiance et une base légale pérennes.

Ceci est d’autant plus nécessaire que l’entrée en application du Règlement Européen (RGDP), intervenant dans moins de 12 mois, oblige aussi, et dés présent, les opérateurs économiques européens à revisiter profondément leur politique de protection et de gestion des données personnelles.