Navigation path

Left navigation

Additional tools

Other available languages: EN DE

Commission européenne - Fiche d'information

Le «bouclier de protection des données UE-États-Unis»: Foire aux questions

Bruxelles, le 29 février 2016

Qu'est-ce que le «bouclier de protection des données UE-États-Unis» (EU-U.S. Privacy Shield)?

Le 2 février 2016, après deux années de négociations, la Commission européenne et le ministère américain du commerce (Department of Commerce) sont parvenus à un accord politique sur un nouveau cadre pour les échanges transatlantiques de données à caractère personnel à des fins commerciales: le «bouclier de protection des données UE-États-Unis» (EU-U.S. Privacy Shield) (voir le document IP/16/216). Le nouveau cadre est destiné à protéger les droits fondamentaux des citoyens européens lorsque des données les concernant sont transférées vers les États-Unis, et à procurer une sécurité juridique aux entreprises.

Le «bouclier de protection des données UE-États-Unis» tient compte des exigences énoncées par la Cour de justice de l'Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la «sphère de sécurité» (Safe Harbour).

Le nouveau dispositif obligera les entreprises américaines à mieux protéger les données à caractère personnel des citoyens européens et prévoira un renforcement des mesures de contrôle appliquées par le ministère américain du commerce et la commission fédérale du commerce (Federal Trade Commission- FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données. Le nouveau dispositif vise notamment, à travers les engagements et les assurances donnés par écrit par les États-Unis, à ce que tout accès des pouvoirs publics aux données à caractère personnel transférées, en vertu du nouveau dispositif, à des fins de sécurité nationale soit subordonné à des conditions, des limitations et une surveillance bien définies, empêchant un accès généralisé. Un nouveau mécanisme de médiation permettra de traiter les plaintes et les demandes d’information présentées par les citoyens de l'Union dans ce contexte et d'y apporter une réponse.

Qu'est-ce qu'une décision concernant le caractère adéquat du niveau de protection («adequacy decision»)?

Une décision concernant le caractère adéquat du niveau de protection est une décision adoptée par la Commission européenne, constatant qu'un pays tiers offre un niveau de protection adéquat des données à caractère personnel, par l'application de sa législation nationale et le respect de ses engagements internationaux.

Une fois une telle décision adoptée, des données à caractère personnel peuvent être transférées, sans autres restrictions, des 28 États membres de l'UE (et des trois pays membres de l'Espace économique européen: Norvège, Liechtenstein et Islande) vers ce pays tiers.

Le «bouclier de protection des données UE-États-Unis» offre un niveau de protection adéquat des données à caractère personnel transférées vers les États-Unis. Il s'appuie sur des principes de respect de la vie privée (Privacy Principles) que les entreprises doivent observer et sur des engagements concernant la mise en œuvre du dispositif (engagements et assurances pris par écrit par le Secrétaire d’État américain, John Kerry, la secrétaire au commerce Penny Pritzker, et le cabinet du directeur du renseignement national, entre autres).

Quelles sont les principales différences entre l’ancien régime de la «sphère de sécurité» et le nouveau «bouclier de protection des données UE-États-Unis»?

Le «bouclier de protection des données UE-États-Unis» tient compte des recommandations formulées par la Commission européenne en novembre 2013, mais aussi des exigences énoncées par la Cour de justice de l'Union européenne dans son arrêt du 6 octobre 2015, qui a invalidé l’ancien régime de la «sphère de sécurité».

Le nouveau dispositif oblige les entreprises américaines à mieux protéger les données à caractère personnel des citoyens européens. Il exige un renforcement des mesures de contrôle appliquées par le ministère américain du commerce (DoC) et la commission fédérale du commerce (FTC), notamment par une coopération accrue avec les autorités européennes chargées de la protection des données

Le nouveau dispositif vise notamment, à travers les engagements et assurances donnés par les États-Unis, à ce que la capacité conférée aux pouvoirs publics en vertu du droit américain d'accéder aux données à caractère personnel transmises soit subordonnée à des conditions, des limitations et une surveillance bien définies, empêchant un accès généralisé. Un nouveau mécanisme de médiation permettra de traiter les plaintes ou les demandes d’information présentées par les citoyens de l'Union dans l'hypothèse d'un accès aux données par les services de renseignement nationaux, et d'y apporter une réponse.

Le nouveau dispositif comportera différents volets:

  • Les entreprises seront soumises à des obligations fermes, assorties d'un contrôle rigoureux: le nouveau dispositif sera transparent et prévoira des mécanismes de surveillance efficaces afin de garantir que les entreprises respectent leurs obligations, y compris la possibilité de les sanctionner ou de les exclure dans le cas contraire. Les nouvelles règles comprennent également des conditions plus strictes pour les transferts ultérieurs à d’autres partenaires par les entreprises adhérant au dispositif.
  • Un accès par les pouvoirs publics américains soumis à des conditions claires et des obligations de transparence: pour la première fois, le gouvernement américain, par l'intermédiaire du cabinet du directeur du renseignement national, a donné par écrit à l'UE l'assurance que tout accès des pouvoirs publics aux données à des fins de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de surveillance bien définis. Le secrétaire d’État américain, John Kerry, s'est engagé à établir une possibilité de recours dans le domaine du renseignement national pour les citoyens de l’Union, en créant au sein du Département d'État un mécanisme de médiation qui sera indépendant des services de sécurité nationaux. Le médiateur assurera le suivi des plaintes et des demandes d’information des particuliers et leur indiquera si la réglementation applicable a été respectée. Tous les engagements écrits pris par les États-Unis seront publiés au Federal Register (le Journal officiel américain).
  • Une protection effective des droits des citoyens de l’Union et plusieurs possibilités de recours: les entreprises visées devront apporter une réponse aux plaintes dans les 45 jours. Un mécanisme de règlement extrajudiciaire des litiges sera accessible sans frais. Les citoyens de l’Union pourront également s'adresser à leur autorité nationale chargée de la protection des données, qui collaborera avec le ministère américain du commerce et la commission fédérale du commerce pour que les plaintes non résolues puissent être examinées et réglées. Lorsqu’un litige n’aura pu être réglé par aucun de ces moyens, les intéressés pourront exiger, en dernier ressort, l'application d'un mécanisme d’arbitrage. Par ailleurs, les entreprises pourront s’engager à se conformer aux conseils prodigués par les autorités européennes chargées de la protection des données. Les entreprises traitant des données relatives aux ressources humaines seront tenues de le faire.
  • Un mécanisme de réexamen annuel conjoint: ce mécanisme permettra de contrôler le fonctionnement du «bouclier de protection des données UE-États-Unis», et notamment le respect des engagements et des assurances concernant l'accès aux données à des fins d'ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels y associeront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. La Commission s’appuiera sur toutes les autres sources d’information disponibles, y compris les rapports de transparence publiés par les entreprises, qui indiquent la mesure dans laquelle les pouvoirs publics ont demandé l'accès aux données. La Commission organisera également une rencontre annuelle au sommet avec des ONG et des parties prenantes dans le domaine du respect de la vie privée, pour débattre de l'évolution plus générale de la législation américaine sur la vie privée et de ses répercussions pour les citoyens européens. Sur la base du réexamen annuel, la Commission adressera un rapport public au Parlement européen et au Conseil.

Comment les exigences énoncées dans l'arrêt de la Cour de justice de l'Union européenne sont-elles satisfaites?

  • Réexamen régulier des décisions concernant le caractère adéquat du niveau de protection

Le nouveau dispositif sera transparent et prévoira des mécanismes de surveillance efficaces afin de garantir que les entreprises observent les règles auxquelles elles ont souscrit.

L'UE et les États-Unis sont convenus d'établir un nouveau mécanisme de réexamen annuel conjoint pour suivre le fonctionnement de la «sphère de sécurité».

Ce réexamen, qui servira à confirmer les engagements pris, sera mené par la Commission européenne et le ministère américain du commerce. Le réexamen annuel conjoint fera appel, le cas échéant, à des représentants du renseignement américain et viendra alimenter un processus constant et dynamique visant à garantir un fonctionnement du «bouclier de protection des données» qui soit compatible avec les principes énoncés et les engagements pris.

Les États-Unis se sont engagés à renforcer la surveillance exercée par le ministère du commerce et à intensifier la coopération entre les autorités européennes chargées de la protection des données et la commission fédérale du commerce. Le système passera ainsi d'un mécanisme d'auto-régulation à un mécanisme de surveillance plus réactif mais aussi capable d'anticipation.

Le ministère américain du commerce suivra, de façon constante, le respect par les entreprises américaines du «bouclier de protection des données», notamment par le biais de questionnaires détaillés. Ces contrôles seront menés lorsque le ministère du commerce recevra des plaintes spécifiques, lorsqu'une entreprise ne fournira pas de réponses satisfaisantes ou lorsque des indices crédibles donneront à penser qu'une entreprise ne se conforme pas aux principes du «bouclier de protection des données». Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s'exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif.

  • Limitations appliquées à l’accès aux données à caractère personnel à des fins de sécurité nationale

Les autorités américaines ont décrit les conditions, limitations et mécanismes de surveillance auxquels sera soumis tout accès des pouvoirs publics aux données à des fins de sécurité nationale. Elles affirment qu'il n'y a aucune surveillance non ciblée ou de masse. Pour traiter les plaintes concernant l'éventuel accès par des services de renseignement nationaux, un nouveau mécanisme de médiation, indépendant des services de renseignement, sera institué.

  • Toutes les plaintes individuelles seront traitées et réglées

Les plaintes pourront être traitées de différentes manières, à commencer par le règlement du litige directement avec l'entreprise et le recours, sans frais, à un mécanisme de règlement extrajudiciaire des litiges. Les citoyens européens pourront également s'adresser à leurs autorités nationales chargées de la protection des données, qui collaboreront avec le ministère du commerce et la commission fédérale du commerce américains pour que leurs plaintes soient examinées et qu'une réponse y soit apportée. Lorsqu’un litige n’aura pas été réglé par l'un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort. La possibilité d'un recours dans le domaine de la sécurité nationale ouvert aux citoyens de l’UE passera par un médiateur indépendant des services de renseignement des États-Unis.

Comment le «bouclier de protection des données» fonctionnera-t-il concrètement?

Les entreprises américaines demanderont leur inscription sur la liste d'adhésion au «bouclier de protection des données» et s'auto-certifieront comme répondant aux exigences établies. Cette procédure devra être suivie chaque année.

Le ministère américain du commerce sera tenu de contrôler et de vérifier activement que la politique des entreprises en matière de respect de la vie privée soit formulée conformément aux principes du «bouclier de protection des données» et soit facilement consultable.

Les États-Unis se sont engagés à tenir à jour une liste des adhérents au dispositif de «bouclier de protection des données» et d'en radier les entreprises qui n'y adhèrent plus. Le ministère du commerce veillera à ce que les entreprises qui n'adhèrent plus au dispositif continuent d'appliquer les principes du «bouclier de protection des données» aux données à caractère personnel obtenues lorsqu'elles en étaient membres, et ce aussi longtemps qu’elles les garderont en leur possession.

Comment les citoyens européens peuvent obtenir réparation aux États-Unis en cas d’utilisation abusive par des entreprises commerciales des données les concernant?

Tout citoyen qui estime que les données le concernant ont fait l’objet d’une utilisation abusive aura plusieurs possibilités de recours, dans le cadre du nouveau dispositif:

  • Déposer plainte auprès de l'entreprise elle-même: Les entreprises s’engagent à apporter une réponse aux plaintes dans les 45 jours. En outre, toute entreprise traitant les données relatives aux ressources humaines concernant des citoyens européens doit s’engager à se conformer aux avis prodigués par l'autorité chargée de la protection des données (DPA) compétente dans l'UE; les autres entreprises peuvent s'y engager volontairement. La Commission encourage les entreprises à le faire.
  • Soumettre leur plainte à la DPA nationale: La DPA transmettra la plainte au ministère américain du commerce, qui réagira dans les 90 jours, ou à la commission fédérale du commerce, si le ministère du commerce n’est pas en mesure de régler le litige.
  • Avoir recours au mécanisme de règlement extrajudiciaire des litiges, un mécanisme gratuit auquel les entreprises américaines doivent souscrire si elles veulent être certifiées dans le cadre du «bouclier de protection des données». Les entreprises seront tenues d’inclure, dans la publication relative à leur politique de respect de la vie privée, des informations sur l’instance indépendante de règlement des litiges à laquelle les consommateurs peuvent adresser leurs plaintes. Elles devront indiquer un lien vers le site web de l'instance choisie et le ministère du commerce vérifiera qu'elles ont satisfait à cette obligation.
  • Lorsqu’un litige n’aura pas été réglé par l'un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort. Les particuliers auront la possibilité de recourir au mécanisme de règlement des litiges offert par le comité du «bouclier de protection des données» (Privacy Shield Panel), qui peut prendre des décisions contraignantes à l'égard des entreprises autocertifiées. Ce comité veillera à ce que toutes les plaintes sans exception soient traitées et qu'une solution soit proposée aux intéressés.

Quels sont les changements intervenus aux États-Unis depuis les révélations d’Edward Snowden?

Suite aux révélations d’Edward Snowden, le gouvernement et le congrès des États-Unis ont lancé d'importantes réformes dans le domaine de la surveillance.

En janvier 2014, le président Obama a fait publier la directive présidentielle n° 28 (PPD-28), qui encadre de manière stricte les activités du renseignement. Elle stipule que la collecte de données par les services du renseignement doit être ciblée. En outre, elle restreint l’utilisation de la collecte massive de données à six domaines de protection de la sécurité nationale (détection et neutralisation des menaces d’espionnage, terrorisme, armes de destruction massive, menaces contre les forces armées et menaces criminelles transnationales), afin de mieux protéger la vie privée de tous, y compris des citoyens non américains.

Depuis 2015, la loi américaine sur la liberté (Freedom Act) restreint également la collecte massive de données et autorise les entreprises à publier des rapports de transparence indiquant le nombre approximatif de demandes d'accès aux données émanant des pouvoirs publics.

La Commission européenne examinera attentivement les prochains rapports du conseil de surveillance de la vie privée et des libertés civiles (Privacy and Civil Liberties Oversight Board), qui évalueront la mise en œuvre de la PPD-28, et suivra avec intérêt le réexamen du programme de surveillance au titre de l'article 702 de la loi sur la surveillance et le renseignement étranger (loi FISA), prévu pour 2017.

Quelles sont les garanties en matière d'accès à des fins de sécurité nationale aux données transférées vers les États-Unis?

Pour la première fois, les États-Unis ont donné, par écrit, à l’Union européenne l'assurance (à publier au Federal Register) que l’accès aux données par les pouvoirs publics américains à des fins d’ordre public et de sécurité nationale sera soumis à des limitations, des conditions et une surveillance bien définies. Les États-Unis garantissent que les données à caractère personnel transférées vers les États-Unis dans le cadre du nouveau dispositif ne feront l'objet d'aucune surveillance non ciblée ou de masse. Pour contrôler régulièrement le fonctionnement du dispositif et des engagements pris, un réexamen annuel conjoint sera prévu, qui portera également sur la question de l’accès à des fins de sécurité nationale. Ce réexamen sera mené par la Commission européenne et le ministère américain du commerce, lesquels inviteront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données à y participer.

Quel sera le rôle du mécanisme de médiation?

La possibilité d'un recours dans le domaine de la sécurité nationale ouvert aux citoyens de l’UE passera par un médiateur indépendant des services de renseignement des États-Unis. Il s'agit d'un nouveau mécanisme introduit par le dispositif «bouclier de protection des données».

Le médiateur traitera les plaintes individuelles des citoyens européens qui craignent une utilisation illicite par les autorités américaines de leurs informations à caractère personnel dans le domaine de la sécurité nationale. Grâce à ce mécanisme, le plaignant saura si son dossier a été dûment examiné, si le droit américain a été respecté et, dans le cas contraire, s'il a été remédié à l'irrégularité.

Quel est le rôle de la loi sur le recours juridictionnel ?

La loi sur le recours juridictionnel (Judicial Redress Act) a été promulguée le 24 février dernier par le président Barack Obama. Une fois en vigueur, cette loi autorisera les citoyens de l’Union européenne à saisir les tribunaux américains pour faire valoir leurs droits au respect de la vie privée concernant des données transférées vers les États-Unis à des fins d'ordre public. La loi sur le recours juridictionnel étendra aux citoyens de l’Union les droits dont jouissent les citoyens et résidents américains en vertu de la loi de 1974 sur le respect de la vie privée (Privacy Act). Cela répond à une demande déjà ancienne de l'Union européenne.

Qu’est-ce que l’accord-cadre sur la protection des données entre l’UE et les États-Unis?

L’accord-cadre sur la protection des données entre l’UE et les États-Unis (EU-US data protection Umbrella Agreement) instaure un cadre global de protection à haut niveau des données aux fins de la coopération entre les services européens et américains chargés de l'application de la loi. L’accord concerne l'ensemble des données à caractère personnel (par exemple, noms, adresses, casiers judiciaires) qui sont échangées entre l’UE et les États-Unis aux fins de la prévention, de la détection, de la recherche et de la poursuite d’infractions pénales, y compris des actes terroristes.

L’accord-cadre ne constitue pas en soi une base juridique pour le transfert de données, ni une décision concernant le caractère adéquat de la protection. Il définira les conditions et les garanties de légalité entourant les transferts de données effectués en vertu de divers accords. Cela permettra de garantir que les droits fondamentaux sont pleinement respectés, tout en facilitant la coopération entre les services de l’UE et des États-Unis chargés de l'application de la loi et en restaurant la confiance dans les relations transatlantiques.

Suite à la promulgation de la loi sur le recours juridictionnel par le président Obama, le 24 février dernier, les citoyens de l’Union pourront bientôt bénéficier de l’égalité de traitement: ils jouiront des mêmes droits en matière de recours juridictionnel que les citoyens américains, en cas de violations de la vie privée. Cet aspect avait été souligné par le président de la Commission Jean-Claude Juncker dans ses orientations politiques: «Les États-Unis doivent [...] garantir que tous les citoyens de l'UE, qu'ils résident ou non aux États-Unis, ont le droit de faire valoir leurs droits à la protection des données devant les tribunaux américains. Ce point sera essentiel pour rétablir la confiance dans les relations transatlantiques.»

Pour en savoir plus

Voir le document IP/16/433

 

 

 

 

MEMO/16/434

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar