Bruxelles, le 08/07/2016 (Agence Europe) - Les représentants des États membres réunis dans le groupe dit 'article 31' ont validé, vendredi 8 juillet, les dispositions du nouveau cadre transatlantique de transfert des données à caractère personnel, le fameux dispositif 'Privacy Shield', a indiqué la Commission. L'Autriche, la Roumanie, la Bulgarie et la Slovénie se sont toutefois abstenues.
Le Privacy shield ou Bouclier vie privée va remplacer l'ancien système Safe Harbour que la Cour de justice de l'UE avait invalidé en octobre dernier au motif qu'il ne protégeait pas assez la vie privée des Européens, après les révélations d'Edward Snowden sur la NSA, l'agence américaine de renseignement, qui pouvait avoir accès aux données personnelles partagées dans ce cadre.
Finalisé début février et peaufiné par la suite par la Commission, le nouveau cadre Privacy Shield entend remédier à ces lacunes. La Commission adoptera définitivement mardi 12 juillet cette décision d'adéquation, ont indiqué les services de porte-parole de la commissaire européenne en charge du dossier, Vera Jourova. Pour la Commission, le nouveau dispositif contient davantage de garanties de protection de la vie privée et davantage d'obligations pour les entreprises qui l'utilisent. Une évaluation annuelle conjointe avec les États-Unis est prévue, des droits de recours sont ouverts aux Européens (depuis l'adoption du Judicial Redress Act) et un Médiateur sera crée au sein du Département d'État, qui aura pour tâche de gérer les éventuels litiges liés à la surveillance des autorités américaines.
« Le bouclier de protection des données UE/États-Unis offrira un niveau de protection élevé aux citoyens et procurera une sécurité juridique aux entreprises. Il est foncièrement différent de l'ancienne “sphère de sécurité”: il impose des obligations plus strictes aux entreprises qui traitent des données et fait en sorte que ces règles soient appliquées et que leur respect soit assuré dans la pratique », ont réagi les commissaires qui pilotent le dossier, Vera Jourova (Justice et Protection des consommateurs) et Andrus Ansip (Marché unique numérique).
L'accord de départ prévoit que les entreprises soient soumises à des obligations fermes, assorties d'une mise à exécution rigoureuse, avec la possibilité de les sanctionner ou de les exclure dans le cas contraire. L'accès des autorités américaines devrait être plus étroitement encadré et transparent, assure la Commission, tout accès des pouvoirs publics aux données à des fins de sécurité nationale étant subordonné à des limitations, des conditions et des mécanismes de supervision bien définis.
Le Médiateur assurera, lui, le suivi des plaintes et des demandes d'information des particuliers et leur indiquera si la réglementation pertinente a été respectée.
Les entreprises visées par une plainte européenne devront apporter une réponse dans les 45 jours. Un mécanisme de règlement extrajudiciaire des litiges sera accessible sans frais. Lorsqu'un litige n'aura pas été réglé par l'un de ces moyens, un mécanisme d'arbitrage sera disponible, en dernier ressort.
Le mécanisme conjoint d'évaluation permettra de contrôler le fonctionnement du dispositif et notamment le respect des engagements et des assurances concernant l'accès aux données à des fins d'ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, explique encore la Commission.
Du côté du PE et du 'groupe Article 29', qui réunit les autorités nationales de protection des données, le nouveau dispositif avait été accueilli relativement favorablement, mais les deux entités avaient pointé des lacunes, notamment le flou des pouvoirs du Médiateur.
La Commission européenne, dans ses contacts ultérieurs avec les États-Unis, a fait en sorte d'avoir des précisions sur une série d'aspects, comme l'obligation de fournir le même niveau de protection quand les compagnies transfèrent des données à d'autres partenaires, ces acteurs tiers devant informer les compagnies du Privacy shield, quand ils ne peuvent assurer le même niveau de protection, explique la Commission. Les compagnies devront supprimer les données personnelles dont elles ne se servent plus. La Commission assure aussi, sans donner de détails, avoir reçu des garanties que le Médiateur aura les moyens nécessaires de travailler et le fera en toute indépendance, selon les promesses reçues de la part des Américains. (Solenn Paulic)