Le mécanisme du Safe Harbor, qui avait été développé par le Département du Commerce américain en consultation avec la Commission Européenne pour permettre le transfert des données entre les Etats-Unis et l’Union européenne a été invalidé par la Cour de Justice de l’Union européenne le 6 octobre 2015. Ce mécanisme a été remplacé par le Privacy Shield, adopté le 12 juillet dernier par la Commission européenne. Il prévoit des obligations plus contraignantes pour les entreprises américaines afin de protéger les données personnelles des européens. Le Département du Commerce commence à accepter des auto-certifications à compter du 1er août 2016.

Malgré des avancées certaines, le Privacy Shield fait déjà l’objet de vives critiques. Il est prévisible qu’à terme une nouvelle action devant la Cour de Justice de l’Union européenne, similaire à celle intentée par Max Schrems ayant abouti à l’invalidation du Safe Harbor, soit intentée.

Comment fonctionne le Privacy Shield ?

Afin de bénéficier du Privacy Shield, les entreprises devront s’auto-certifier annuellement avec le Département du Commerce américain et déclarer leur adhésion à une série de principes destinés à apporter des garanties aux citoyens européens. Les entreprises qui adhèreront seront placées sur la liste publique du Privacy Shield tenue et mise à jour par le Département du Commerce.

Les nouveautés du Privacy Shield

Le Privacy Shield prévoit plusieurs possibilités de recours pour les citoyens européens, une grande nouveauté par rapport aux options qui leur étaient offertes auparavant.

Premièrement, des procédures d’arbitrage seront adoptées pour traiter des réclamations devant un panel composé d’un ou de trois arbitres. Ce panel ne pourra qu’octroyer des solutions individuelles spécifiques de réparation, non monétaires (relief), tels que l’accès, la modification ou la suppression des données. Pour obtenir toute autre demande, notamment pécuniaire, le citoyen européen devra intenter des poursuites judiciaires.

Deuxièmement, le Département du Commerce a défini le nouveau rôle du Privacy Shield Ombudsperson pour faciliter le traitement des demandes liées à l’accès de sécurité nationale aux données transférées de l’UE aux Etats-Unis. Le Ombudsperson – Catherine A. Novelli au sein de l’administration actuelle – gérera de telles demandes en vertu du Privacy Shield mais également celles en vertu des BCR, Clauses Contractuelles Types et autres moyens légaux de transferts. Les demandes au Ombudsperson seront faites par l’organisation de l’Etat membre de l’individu compétent pour la surveillance des services de sécurité nationale.

Enfin, Barack Obama a signé le Judicial Redress Act le 24 février 2016, qui permet aux individus non-américains de pays désignés par le Département du Commerce de demander l’accès aux données détenues par le gouvernement et d’obtenir réparation en vertu de la loi américaine relative aux données personnelles.

Règles spécifiques pour les données RH

Le Privacy Shield dispose de règles spécifiques pour les sociétés destinataires de transferts de données personnelles RH. Ces sociétés devront s’assurer du respect des règles européennes applicables de droit du travail. Elles pourront être exemptes de certaines obligations en matière de droit d’accès (ex : en cas de surveillance des salariés) ou en cas de transfert de données de salariés à un tiers pour des besoins opérationnels (ex : réservation de voyage d’affaires), même si elles restent soumises aux autres principes du Privacy Shield. En outre, elles devront fournir au Département du Commerce une copie de leur politique de protection des données (privacy policy) relative aux données RH et indiquer où celle-ci elle est accessible aux salariés.

Les sociétés américaines qui s’auto-certifient dans les deux prochains mois auront une période transitoire de neuf mois afin de rendre leurs relations avec les tiers conformes aux principes du Privacy Shield, notamment en mettant à jour leur politique de protection des données.

Quel impact aura le Brexit ?

A compter du 1er août, les sociétés transférant des données du Royaume-Uni vers les Etats-Unis pourront s’auto-certifier. Le Brexit ne sera effectif au plus tard que deux ans à compter de la notification formelle de retrait, laquelle n’a pas encore été effectuée. Après le Brexit, il est possible qu’un « Privacy Shield » spécifique pour les transferts US-UK soit mis en place comme il en existe un pour les transferts US-Suisse. Concernant les transferts de la France vers le Royaume-Uni, il est vraisemblable que le Royaume-Uni sera considéré comme un pays « adéquat », prévoyant des mesures de protection de données personnelles suffisantes. Ceci est d’autant plus prévisible que le nouveau règlement sur la protection des données (GDPR) sera pleinement applicable en droit britannique dès mai 2018, soit avant l’effectivité attendue du Brexit.