Chemin de navigation

Left navigation

Additional tools

Autres langues disponibles: EN DE

Commission européenne - Fiche d'information

Le bouclier de protection des données UE-États-Unis: Foire aux questions

Bruxelles, le 12 juillet 2016

La Commission européenne a adopté aujourd’hui le bouclier de protection des données UE-États-Unis.

Qu'est-ce que le «bouclier de protection des données UE-États-Unis» (EU-U.S. Privacy Shield)?

Le 2 février 2016, après deux années et demie de négociations, la Commission européenne et le ministère américain du commerce (Department of Commerce) sont parvenus à un accord sur un nouveau cadre pour les échanges transatlantiques de données à caractère personnel à des fins commerciales: le «bouclier de protection des données UE-États-Unis» (EU-U.S. Privacy Shield) (IP/16/216). Ce nouveau cadre est destiné à protéger les droits fondamentaux des personnes lorsque des données les concernant sont transférées vers les États-Unis, et à procurer une sécurité juridique aux entreprises. Le 12 juillet 2016, à la suite d’un vote favorable de la part des États membres (Comité article 31) intervenu le 8 juillet, le collège des commissaires a formellement adopté le bouclier de protection des données.

Le bouclier de protection des données UE-États-Unis tient compte des exigences énoncées par la Cour de justice de l'Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la «sphère de sécurité» (Safe Harbour).

Le nouveau dispositif imposera des exigences plus strictes aux entreprises américaines en matière de protection des données à caractère personnel des particuliers et prévoira un renforcement des mesures de contrôle et d'application de la législation mises en œuvre par le ministère américain du commerce et la commission fédérale du commerce (Federal Trade Commission- FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données. Ce dispositif vise notamment, à travers les engagements et les assurances donnés par écrit par les États-Unis, à ce que tout accès des pouvoirs publics aux données à caractère personnel transférées, en vertu du nouveau dispositif, à des fins de sécurité nationale soit subordonné à des conditions, des limitations et une surveillance bien définies, empêchant un accès généralisé. Un nouveau mécanisme de médiation permettra de traiter les plaintes et les demandes d’information présentées par les particuliers de l'Union dans ce contexte et d'y apporter une réponse.

Qu'est-ce qu'une décision constatant le caractère adéquat du niveau de protection (décision d'adéquation ou «adequacy decision»)?

Une décision d'adéquation est une décision adoptée par la Commission européenne, constatant qu'un pays tiers offre un niveau de protection adéquat des données à caractère personnel, par l'application de sa législation nationale et le respect de ses engagements internationaux.

Une fois une telle décision adoptée, des données à caractère personnel peuvent être transférées, sans autres restrictions, des 28 États membres de l'UE (et des trois pays membres de l'Espace économique européen: Norvège, Liechtenstein et Islande) vers ce pays tiers.

Le bouclier de protection des données UE-États-Unis garantit un niveau adéquat de protection des données à caractère personnel transférées vers les États‑Unis. Il s'appuie sur des principes de respect de la vie privée (Privacy Principles) que les entreprises doivent observer et sur des engagements concernant la mise en œuvre du dispositif (engagements et assurances pris par écrit par le Secrétaire d’État américain, M. John Kerry, par la secrétaire au commerce, Mme Penny Pritzker, par la commission fédérale du commerce et par le cabinet du directeur du renseignement national, entre autres). 

Qu'apporte ce nouveau dispositif?

Le bouclier de protection des données UE-États-Unis tient compte des recommandations formulées par la Commission européenne en novembre 2013, mais aussi des exigences énoncées par la Cour de justice de l'Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la «sphère de sécurité».

Le nouveau dispositif comportera différents volets:

o   Des obligations strictes pour les entreprises qui traitent des données à caractère personnel

  • Le ministère américain du commerce s'assurera, au moyen d'examens réguliers, que les entreprises participantes respectent les règles applicables en matière de protection des données.
  • Le nouveau dispositif sera transparent et prévoira des mécanismes de surveillance efficaces visant à garantir que les entreprises observent les règles auxquelles elles ont souscrit. Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s'exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au bouclier de protection des données.
  • Les nouvelles règles comprennent également des conditions plus strictes pour les transferts ultérieurs à des tiers par les entreprises adhérant au dispositif. L’obligation de fournir le «même niveau de protection» a été précisée au cours du processus d’adoption et inclut désormais une obligation pour le tiers concerné d’informer l'entreprise qui a souscrit au bouclier de protection des données qu’il n’est plus en mesure, le cas échéant, d’assurer le niveau approprié de protection des données, l'entreprise devant alors prendre les mesures qui s'imposent.
  • La limitation actuelle de la période de conservation des données a été reformulée de manière plus précise. Les entreprises ne peuvent conserver des données à caractère personnel qu’aussi longtemps que leur conservation répond aux finalités pour lesquelles elles ont été initialement collectées.

o   Des limites et garanties précises concernant l’accès par le gouvernement américain

  • Des engagements forts, pris par écrit par le cabinet du directeur du renseignement national (Maison blanche), garantissent que les données à caractère personnel transférées dans le cadre de l'accord sur le bouclier de protection des données ne feront l'objet d'aucune surveillance massive ou indifférenciée.
  • Au cours du processus d’adoption, le cabinet du directeur du renseignement national a précisé, dans un document supplémentaire, que la collecte en vrac de données ne pourrait être utilisée qu'à certaines conditions prédéfinies et devra être aussi ciblée que possible, notamment grâce à l’utilisation de filtres et à une obligation de réduire au strict minimum la collecte d’informations non pertinentes. Il a également précisé les garanties mises en place en ce qui concerne l’utilisation de ces données. Le nouveau document exclut une fois de plus toute surveillance massive ou indifférenciée par les États-Unis.
  • Le secrétaire d’État américain, John Kerry, s'est engagé à instituer une voie de recours dans le domaine du renseignement national pour les ressortissants de l’Union européenne, en créant au sein du Département d'État une fonction de médiateur, qui sera indépendant des services de sécurité nationaux. Ce médiateur sera chargé de répondre aux plaintes et aux demandes des particuliers européens relatives à l’accès pour raison de sécurité nationale et il devra confirmer à la personne concernée que les lois applicables ont été respectées ou qu'il a été remédié à tout manquement, le cas échéant.
  • Pour contrôler régulièrement le fonctionnement du dispositif, un réexamen conjoint aura lieu tous les ans, qui portera également sur la question de l’accès à des fins de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels y associeront des experts nationaux de la sécurité travaillant au sein des autorités américaines et européennes de protection des données. Le bouclier de protection des données est un mécanisme évolutif, qui sera réexaminé en continu afin de vérifier s’il fonctionne bien. S'il apparaît que le bouclier de protection des données n'assure plus un niveau de protection adéquat, la Commission européenne prendra les mesures appropriées, notamment la suspension de la décision constatant le caractère adéquat du niveau de protection.

o   Une protection effective des droits des ressortissants de l’Union

Tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive dans le cadre du bouclier de protection des données bénéficiera de plusieurs mécanismes de règlement des litiges accessibles et abordables:

  • Dans l’idéal, et selon l’expérience acquise, la plainte sera résolue par l'entreprise elle-même.
  • Les entreprises ayant souscrit au bouclier de protection des données pourront, soit recourir gratuitement à un mécanisme de règlement extrajudiciaire des litiges, soit se soumettre volontairement à la surveillance des autorités de l'UE chargées de la protection des données.
  • En toute circonstance, les particuliers pourront s'adresser aux autorités de l’UE chargées de la protection des données, qui transmettront leurs plaintes au ministère du commerce et/ou à la commission fédérale du commerce (FTC) américains pour qu'elles soient examinées et qu'une réponse y soit apportée. Ces cas devraient être résolus dans un délai raisonnable: si une autorité chargée de la protection des données transmet une plainte aux États-Unis, le ministère du commerce américain devra y donner suite dans un délai donné. Quant à la commission fédérale du commerce américaine, elle s’est engagée à examiner en priorité les plaintes de particuliers.
  • Lorsqu’un litige n’aura pas été réglé par l'un de ces moyens, un mécanisme d’arbitrage sera disponible en dernier ressort.
  • Tout recours dans le domaine de la sécurité nationale concernant des données transférées vers les États-Unis passera par un médiateur indépendant des services de renseignement américains. Au cours de la procédure d’adoption, le fonctionnement et l’indépendance du médiateur ont fait l'objet de clarifications, notamment en ce qui concerne son indépendance et sa coopération avec d’autres organismes de surveillance indépendants disposant de pouvoirs d’enquête.

Comment le bouclier de protection des données fonctionnera-t-il concrètement?

Les entreprises américaines demanderont leur inscription sur la liste d'adhésion au bouclier de protection des données et s'auto-certifieront comme répondant aux normes strictes en matière de protection des données, prévues dans le dispositif. Elles devront renouveler leur inscription chaque année.

Le ministère américain du commerce assurera un suivi et vérifiera activement que la politique des entreprises en matière de respect de la vie privée est conforme aux principes pertinents du bouclier de protection des données et facilement consultable par le public.

Les États-Unis se sont engagés à tenir à jour une liste des adhérents au dispositif de bouclier de protection des données et à en radier les entreprises qui n'y adhèrent plus. Le ministère américain du commerce veillera à ce que les entreprises qui n'adhèrent plus au bouclier de protection des données soient tenues de continuer à appliquer les principes du dispositif aux données à caractère personnel obtenues lorsqu'elles en étaient membres, et ce aussi longtemps qu’elles les garderont en leur possession. 

Comment les particuliers peuvent-ils obtenir réparation aux États-Unis en cas d’utilisation abusive par des entreprises commerciales des données les concernant?

Tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive aura plusieurs possibilités de recours, dans le cadre du nouveau dispositif:

  • Déposer plainte auprès de l'entreprise elle-même: Les entreprises s’engagent à apporter une réponse aux plaintes dans les 45 jours. En outre, toute entreprise traitant des données relatives aux ressources humaines concernant des particuliers doit s’engager à se conformer aux avis de l'autorité chargée de la protection des données (APD) compétente dans l'UE; les autres entreprises peuvent s'y engager volontairement. La Commission encourage les entreprises à le faire.
  • Soumettre leur plainte à l'APD nationale: L'APD transmettra la plainte au ministère américain du commerce, qui réagira dans les 90 jours, ou à la commission fédérale du commerce (FTC), si le ministère du commerce n’est pas en mesure de régler le litige.
  • Avoir recours au mécanisme de règlement extrajudiciaire des litiges, un mécanisme gratuit auquel les entreprises américaines peuvent souscrire pour remplir les conditions d'adhésion au bouclier de protection des données. Les entreprises seront tenues d’inclure, dans la publication relative à leur politique de respect de la vie privée, des informations sur l’instance indépendante de règlement des litiges à laquelle les consommateurs peuvent adresser leurs plaintes. Elles devront indiquer un lien vers le site web de l'instance choisie et le ministère américain du commerce vérifiera qu'elles ont satisfait à cette obligation.
  • Lorsqu’un litige n’aura pas été réglé par l'un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort. Les particuliers auront la possibilité de recourir au panel du bouclier de protection des données («Privacy Shield Panel»), un mécanisme de règlement des litiges qui peut prendre des décisions contraignantes à l'égard des entreprises américaines autocertifiées. Ce panel veillera à ce que toutes les plaintes sans exception soient traitées et qu'une solution soit proposée aux intéressés. Plusieurs éléments favorables au plaignant (par exemple, absence de frais, possibilité de participer par vidéoconférence, traduction et interprétation gratuites) permettent d'éviter que les particuliers ne soient dissuadés de recourir au panel.

Quels sont les changements intervenus aux États-Unis depuis les révélations d’Edward Snowden?

À la suite des révélations d’Edward Snowden, le gouvernement et le congrès des États-Unis ont lancé d'importantes réformes dans le domaine de la surveillance.

En janvier 2014, le président Obama a fait publier la directive présidentielle n° 28 (PPD-28), qui encadre de manière stricte les activités du renseignement. Elle précise que la collecte de données par les services du renseignement doit, en règle générale, être ciblée. En outre, elle restreint l’utilisation exceptionnelle de la collecte en vrac de données à six domaines de protection de la sécurité nationale (neutralisation des menaces d’espionnage, terrorisme, armes de destruction massive, menaces contre la cybersécurité ou les forces armées, et menaces criminelles transnationales), afin de mieux protéger la vie privée de tous, y compris des citoyens non américains.

Depuis 2015, la loi américaine sur la liberté (Freedom Act) restreint également la collecte en vrac de données et autorise les entreprises à publier des rapports de transparence indiquant le nombre approximatif de demandes d'accès aux données émanant des pouvoirs publics.

La Commission européenne évaluera la situation en permanence et examinera attentivement les prochains rapports du conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board), qui évalueront la mise en œuvre de la PPD-28, et suivra avec intérêt le réexamen du programme de surveillance au titre de l'article 702 de la loi sur la surveillance et le renseignement étranger (loi FISA), prévu pour 2017.

Quelles sont les garanties applicables en cas d'accès à des fins de sécurité nationale aux données transférées vers les États-Unis?

Pour la première fois, les États-Unis ont donné, par écrit, à l’Union européenne l'assurance (à publier au Federal Register) que l’accès aux données par les pouvoirs publics américains à des fins d’ordre public et de sécurité nationale sera soumis à des limitations, des conditions et une surveillance bien définies. De même, ils ont expressément assuré qu'il n'y aura aucune surveillance massive ou indifférenciée. Pour contrôler régulièrement le fonctionnement du dispositif et le respect des engagements pris, un réexamen conjoint aura lieu chaque année, qui portera également sur la question de l’accès à des fins de sécurité nationale. Ce réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels inviteront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données à y participer.

Quel sera le rôle du mécanisme de médiation?

Tout recours dans le domaine de la sécurité nationale concernant des données transférées vers les États-Unis passera par un médiateur indépendant des services de renseignement américains. Il s'agit d'un nouveau mécanisme introduit par le dispositif du bouclier de protection des données.

Le médiateur traitera les plaintes individuelles des particuliers qui craignent une utilisation illicite par les autorités américaines de leurs informations à caractère personnel dans le domaine de la sécurité nationale. Grâce à ce mécanisme, le plaignant saura si son dossier a été dûment examiné, si le droit américain a été respecté et, dans le cas contraire, s'il a été remédié à l'irrégularité.

Comment les exigences énoncées dans l'arrêt de la Cour de justice de l'Union européenne sont-elles satisfaites?

  • Contrôle et surveillance

Le nouveau dispositif sera transparent et prévoira des mécanismes de surveillance efficaces visant à garantir que les entreprises observent les règles auxquelles elles ont souscrit. Les États-Unis se sont engagés à renforcer la surveillance exercée par le ministère américain du commerce et à intensifier la coopération entre les autorités européennes chargées de la protection des données et la commission fédérale du commerce (FTC). Le système passera ainsi d'un mécanisme d'auto-régulation à un mécanisme de surveillance plus réactif mais aussi capable d'anticipation.

  • Limitations appliquées à l’accès aux données à caractère personnel à des fins de sécurité nationale

Les autorités américaines ont décrit les conditions, limitations et mécanismes de surveillance auxquels sera soumis tout accès des pouvoirs publics aux données à des fins de sécurité nationale. Elles affirment qu'il n'y a aucune surveillance massive ou indifférenciée. Pour traiter les plaintes concernant l'éventuel accès par des services de renseignement nationaux, un nouveau mécanisme de médiation, indépendant des services de renseignement, sera institué.

  • Toutes les plaintes individuelles seront traitées et réglées

Les plaintes pourront être traitées de différentes manières, à commencer par le règlement du litige directement avec l'entreprise ayant souscrit au bouclier de protection des données et le recours, sans frais, à un mécanisme de règlement extrajudiciaire des litiges. Les particuliers pourront également s'adresser à leurs autorités nationales chargées de la protection des données, qui collaboreront avec le ministère américain du commerce et la commission fédérale du commerce américains pour que leurs plaintes soient examinées et qu'une réponse y soit apportée. Lorsqu’un litige n’aura pas été réglé par l'un de ces moyens, un mécanisme d’arbitrage sera disponible en dernier ressort. Tout recours d'un particulier dans le domaine de la sécurité nationale passera par un médiateur indépendant des services de renseignement des États-Unis.

  • Réexamen régulier des décisions constatant le caractère adéquat du niveau de protection

L'UE et les États-Unis sont convenus d'établir un nouveau mécanisme de réexamen annuel conjoint pour suivre le fonctionnement du bouclier de protection des données.

Ce réexamen, qui servira à confirmer que les engagements pris sont respectés, sera mené par la Commission européenne et le ministère américain du commerce. Le réexamen annuel conjoint fera appel, le cas échéant, à des représentants du renseignement américain et viendra alimenter un processus constant et dynamique visant à garantir un fonctionnement du bouclier de protection des données qui soit compatible avec les principes énoncés et les engagements pris.

Pour en savoir plus

IP/16/2461

 

MEMO/16/2462

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar