Retour aux articles

Bouclier de protection des données UE-États-Unis : des progrès et des propositions d’amélioration

Affaires - Immatériel
24/10/2019
La Commission européenne a publié, le 23 octobre, son rapport sur le troisième examen annuel du fonctionnement du bouclier de protection des données Union Européenne -États-Unis.
Il confirme que les États-Unis continuent de garantir un niveau suffisant de protection des données à caractère personnel transférées de l'UE vers les sociétés participantes des États-Unis au titre du bouclier de protection des données. 

Depuis le deuxième examen annuel, plusieurs améliorations ont été apportées au fonctionnement du cadre et des nominations ont été effectuées dans des organismes clés de surveillance et de recours, comme celle du médiateur du bouclier de protection des données. Alors que le bouclier en est à sa troisième année d'activité, l'examen s'est concentré sur les enseignements tirés de sa mise en œuvre et de sa fonctionnalité quotidienne. Aujourd'hui, quelque 5 000 sociétés participent à ce cadre de protection des données UE-États-Unis.

Parmi les améliorations relevées, le troisième examen relève que le ministère américain du commerce assure la surveillance nécessaire de manière plus systématique, en procédant par exemple à des vérifications mensuelles auprès d'un échantillon de sociétés pour contrôler le respect des principes du bouclier de protection des données.
L'action répressive s'est améliorée grâce aux mesures adoptées par la commission fédérale du commerce pour faire appliquer les principes du bouclier de protection des données dans plusieurs affaires.
Un nombre croissant de citoyens de l'Union font usage de leurs droits au titre du bouclier de protection et les mécanismes de recours appropriés fonctionnent correctement.

La Commission recommande cependant que certaines mesures concrètes soient prises pour mieux assurer le bon fonctionnement du bouclier de protection des données dans les faits. 
A la suivre, il convient notamment lieu de renforcer le processus de (re)certification des sociétés qui souhaitent participer en réduisant la durée du processus de (re)certification; en élargissant les contrôles de conformité, y compris en ce qui concerne les fausses déclarations de participation au cadre; et en élaborant des orientations supplémentaires pour les sociétés liées aux données relatives aux ressources humaines. 
La Commission s'attend aussi à ce que la commission fédérale du commerce renforce ses enquêtes sur la conformité avec les exigences de fond du bouclier de protection des données et l'informe la Commission ainsi que les autorités de protection des données de l'Union des enquêtes en cours.

On rappellera que la décision relative au bouclier de protection des données UE-États-Unis a été adoptée le 12 juillet 2016 ; son cadre étant entré en vigueur le 1er août 2016. Il protège les droits fondamentaux de tout citoyen de l'Union dont les données à caractère personnel sont transférées à des fins commerciales vers des sociétés certifiées aux États-Unis, tout en apportant de la clarté juridique aux entreprises qui ont recours à des transferts transatlantiques de données.

On rappellera également qu’un litige est actuellement pendant devant la Cour de justice de l'Union européenne sur les transferts de données UE-États-Unis ; ce qui peut aussi avoir une incidence sur le bouclier de protection des données. Une audition a eu lieu en juillet dernier dans l'affaire C-311/18 (Schrems II).
Une fois l'arrêt de la CJUE rendu, la Commission évaluera ses conséquences pour celui-ci.
Source : Actualités du droit