Privacy Shield : Différence entre versions

De La Quadrature du Net
Aller à la navigationAller à la recherche
(L'historique du Privacy Shield)
(Processus d'adoption de la décision d'adéquation)
Ligne 20 : Ligne 20 :
  
 
=Processus d'adoption de la décision d'adéquation=
 
=Processus d'adoption de la décision d'adéquation=
 +
 +
* 2 February 2016 - la Commission européenne [http://europa.eu/rapid/press-release_IP-16-216_en.htm annonce] publiquement s'être mis d'accord avec le gouvernement des États-Unis sur un nouveau cadre pour le transfert des données vers les États-Unis.
 +
* 29 février 2016 - La Commission européenne publie le projet de décision d'adéquation UE-US: le Privacy Shield.
 +
* 17 mars 2016 - La commission LIBE du parlement européen organise une [http://www.europarl.europa.eu/committees/en/libe/events-hearings.html?id=20160317CHE00191 audition d'experts] sur le Privacy Shield
 +
* 13 avril 2016 -Le G29 (le groupe des CNIL européeennes) publie [https://www.cnil.fr/fr/communique-g29-publication-de-lavis-du-g29-sur-laccord-privacy-shield son avis] sur l'accord du Privacy Shield. Les autorités de protection des données personnelles regrettent avant tout le manque général de clareté du texte mais elles s'inquiètent également de la non-adéquation du volet commercial et déplorent que «la possibilité d'une surveillance massive et indiscriminée » par les autorités américaines n'ait pas été écartée.
 +
* 19 mai 2016 - Les représentants des États membres se rencontrent au sein du [https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/lang/fr/pid/73#comite comité de l'article 31] afin d'émettre une position sur l'avancée des négociations. La validation par 16 États membres était requise pour que les négociations puissent continuer.
 +
* 26 mai 2016 - Le Parlement européen adopte une [http://www.europarl.europa.eu/sides/getDoc.do?type=TA&language=FR&reference=P8-TA-2016-0233 résolution] non contraignante sur le Privacy Shield. Les eurodéputés s'inquiètent de [http://www.europarl.europa.eu/news/fr/news-room/20160524IPR28820/Bouclier-vie-priv%C3%A9e-UE-%C3%89tats-Unis-des-am%C3%A9liorations-%C3%A0-apporter nombreuses « failles »] mais soutiennent la Commission dans sa poursuite des négociations.
 +
* 29 juin 2016 -  Fuite, par [http://www.politico.eu/wp-content/uploads/2016/06/Privacy-shield-text-for-opinion-and-annexes.pdf Politico], de la nouvelle proposition de décision encore tenue secrète.
 +
* 8 juillet 2016 - Validation de la décision d'adéquation par les États membres réunis au sein du comité de l'article 31. Seuls 4 États s'abstiennent : l'Autriche, la Slovénie, la Croatie et la Bulgarie.
 +
* 12 juillet 2016 - adoption officielle du Privacy Shield suivie d'une conférence de presse commune entre Věra Jourová, Commissaire européenne à la Justice et Penny Pritzker, Secrétaire d'État au commerce des États-Unis.
  
 
=Analyse du contenu=
 
=Analyse du contenu=

Version du 19 juillet 2016 à 16:42

Le Privacy Shield (ou "Bouclier de vie privée" en français) est une sorte « d'arrangement » entre l'Union européeenne et les États-Unis qui permet à des entreprises américaines de certifier qu'elles respectent les standards et les législations en vigueur dans l'Union européeenne en matière de protection des données et de la vie privée.

Ce n'est donc pas un « accord » entre l'UE et les États-Unis mais une « décision d'adéquation ». La Commission européenne certifie par cette décision que, dans le cas d'un transfert de données d'Européen-ne-s vers les États-Unis, le niveau de protection est conforme à la législation de l'UE.

Une telle décision est nécessaire afin de réaliser des transferts de données vers des pays tiers car la Directive 95/46/CE sur la protection des données personnelles (aujourd'hui remplacée par le règlement général sur la protection des données personnelles qui entrera en vigueur en 2018) interdit le transfert de données personnelles en dehors de l'Espace économique européeen (les 28 États membres de l'UE, ainsi que la Norvège, le Liechtenstein et l'Islande) si les pays destinataires ont un régime légal de protection des données personnelles inférieur à celui de l'UE. Plusieurs décisions d'adéquation avec des États tiers sont déjà en vigueur, par exemple avec le Canada, l'Argentine ou encore avec la Suisse.

Une décision d'adéquation suit une procédure d'adoption particulière puisqu'elle est négociée directement par la Commission européenne avec le gouvernement des États-Unis. Pour connaitre le détail de la procédure d'adoption, nous vous conseillons le site de la Commission européenne .

L'historique du Privacy Shield

Entre 2000 et 2015 une décision d'adéquation entre les États-Unis et l'Union européenne était en vigueur et encadrait les tranferts de données des Européen-ne-s de l'autre coté de l'Atlantique. Mais le 6 octobre 2015 cette décision a été invalidée par la Cour de justice de l'Union européenne dans l'arrêt Maximillian Schrems c. Data Protection Commissioner.

Le 25 juin 2013 Maximillian Schrems a saisi le Commissaire à la protection des données par une plainte dans laquelle il demandait qu'il soit interdit à Facebook de transférer ses données personnelles vers les États-Unis. Schrems estimait qu'une protection suffisante contre les activités de surveillance pratiquées par les autorités publiques aux États-Unis (pratiques rendues publiques quelques mois plus tôt par les révélations d'Edward Snowden n'était pas garantie.

Confirmant que le États-Unis assuraient un niveau adéquat de protection, le Commissaire a rejeté la plainte de Schrems. Ce dernier a donc saisi la Haute Cour de justice d'Irlande (High Court) qui, bien que reconnaissant qu'un accès massif et indifférencié à des données personnelles était contraire à la Constitution irlandaise, a considéré que cette affaire concernait la mise en oeuvre du droit de l'Union et a donc posé deux questions préjudicielles à la Cour de justice de l'Union européenne.

La Cour a tranché le 6 octobre 2015 en annulant la décision d'adéquation du Safe Harbor. Les juges ont considéré que la collecte et la conservation généralisée de l'intégralité des données à caractère personnel et ce sans que soit prévu aucune limitation de l'accès des autorités publiques aux données, était contraire au droit fondamental du respect de la vie privée, tel que garanti par l'article 7 de la Charte des droits fondamentaux de l'Union européenne.

Suite à l'annulation de la décision 2000/520/CE de la Commission, du 26 juillet 2000, autrement dit du Safe Harbor, la Commission européenne et les États-Unis ont commencé à négocier une nouvelle décision d'adéquation censée remplacer son précédesseur et prendre en compte les exigences de la CJUE : le Privacy Shield.

Processus d'adoption de la décision d'adéquation

  • 2 February 2016 - la Commission européenne annonce publiquement s'être mis d'accord avec le gouvernement des États-Unis sur un nouveau cadre pour le transfert des données vers les États-Unis.
  • 29 février 2016 - La Commission européenne publie le projet de décision d'adéquation UE-US: le Privacy Shield.
  • 17 mars 2016 - La commission LIBE du parlement européen organise une audition d'experts sur le Privacy Shield
  • 13 avril 2016 -Le G29 (le groupe des CNIL européeennes) publie son avis sur l'accord du Privacy Shield. Les autorités de protection des données personnelles regrettent avant tout le manque général de clareté du texte mais elles s'inquiètent également de la non-adéquation du volet commercial et déplorent que «la possibilité d'une surveillance massive et indiscriminée » par les autorités américaines n'ait pas été écartée.
  • 19 mai 2016 - Les représentants des États membres se rencontrent au sein du comité de l'article 31 afin d'émettre une position sur l'avancée des négociations. La validation par 16 États membres était requise pour que les négociations puissent continuer.
  • 26 mai 2016 - Le Parlement européen adopte une résolution non contraignante sur le Privacy Shield. Les eurodéputés s'inquiètent de nombreuses « failles » mais soutiennent la Commission dans sa poursuite des négociations.
  • 29 juin 2016 - Fuite, par Politico, de la nouvelle proposition de décision encore tenue secrète.
  • 8 juillet 2016 - Validation de la décision d'adéquation par les États membres réunis au sein du comité de l'article 31. Seuls 4 États s'abstiennent : l'Autriche, la Slovénie, la Croatie et la Bulgarie.
  • 12 juillet 2016 - adoption officielle du Privacy Shield suivie d'une conférence de presse commune entre Věra Jourová, Commissaire européenne à la Justice et Penny Pritzker, Secrétaire d'État au commerce des États-Unis.

Analyse du contenu

Principes relatifs à la vie privée

Accès aux données par les autorités publiques des États-Unis

Protection juridique et mécanismes de recours effectifs

Références