Privacy Shield, qu’est ce que c’est ?
Pour rappel, le Privacy Shield (ou “Bouclier de Protection des Données”) est un mécanisme d’auto-certification pour les entreprises situées aux États-Unis offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Il fut adopté en juillet 2016 et mis en place suite l’échec du Safe Harbor qui a été invalidé par la Cour de Justice de l’Union Européenne (CJUE) car le niveau de protection n’était pas suffisamment élevé pour garantir la sécurité des données personnelles des personnes résidant dans l’Union Européenne.
Dès lors, chaque entreprise états-unienne voulant s’auto certifier au Privacy Shield a l’obligation d’être soumise aux pouvoirs de contrôle et d’exécution de la Commission Fédérale du Commerce (le FTC) ou du Département des Transports américains (le DoT).
Ainsi, tout organisme à but non lucratif, les banques, sociétés d’assurances,… qui ne relèvent ni de la compétence de la TFC, ni du DoT n’ont pas la possibilité d’adhérer au Privacy Shield.
La Commission Européenne valide le Privacy Shield avec des réserves
Ainsi, la Commission vient de valider pour la deuxième fois suite à un examen annuel le Privacy Shield, qui assure ainsi que cet accord transatlantique n’a pas besoin d’être révisé ou d’être annulé, car le niveau de protection des données est considéré comme suffisant. Il avait déjà été approuvé auparavant en octobre 2017, où la Commission avait assurée que “les autorités américaines ont mis en place les structures et procédures nécessaires pour [en] garantir le bon fonctionnement”.
Néanmoins, le texte est encore loin d’être parfait puisque la Commission a émis une réserve quand à la nécessité d’améliorer ce texte. En effet, selon elle, le Privacy Shield doit être renforcé au regard du “processus de certification et de la surveillance proactive”, de la Commission fédérale du commerce doit être plus engagée à l’application de ce texte et des “évolutions pertinentes du système juridique américain en ce qui concerne le respect de la vie privée”.
Mais la plus grande amélioration à fournir reste le fait qu’il n’y a aucun médiateur permanent de nommé. C’est une personne qui est ici chargée de traiter les plaintes relatives au Privacy Shield, dont les États-Unis peinent à s’activer pour en désigner dans les plus brefs délais. La Commission a alors lancé un ultimatum en mettant en place une date d’échéance soit le 28 février 2019 pour que ce dernier soit désigné. Ainsi, bien que la manque de médiateur ne semble pas être un obstacle à l’approbation du Privacy Shield par les autorité européennes, cela pourrait entraîner de lourdes conséquences en cas de non respect du délai imposé.
Il est toutefois important de rappeler que le Privacy Shield ne s’applique pas à l’ensemble des États-Unis. Contrairement à l’approbation générale du niveau de protection adéquat des pays en dehors de l’Union Européenne, cette approbation ne concerne uniquement que le mécanisme de certification pouvant s’appliquer à certaines entreprises. Ce n’est alors pas l’ensemble du pays qui offre une protection des données suffisante, mais seulement les entreprises bénéficiant du Privacy Shield. Cela reste néanmoins une preuve que les États-Unis portent une attention plus concrète dans la protection des données personnelles que par le passé, notamment avec le Safe Harbor qui fut rejeté par les institutions européennes.
Source : Site officiel de la Commission européenne