Navigation path

Left navigation

Additional tools

Other available languages: EN DE

Commission européenne - Fiche d'information

Premier réexamen annuel du bouclier de protection des données UE-États-Unis

Bruxelles, le 18 octobre 2017

La Commission européenne publie aujourd'hui son premier rapport annuel sur le fonctionnement du bouclier de protection des données UE-États-Unis, dont le but est de protéger les données à caractère personnel de tout citoyen de l'Union transférées à des fins commerciales vers des entreprises établies aux États-Unis.

IP/17/3966

Qu'est-ce que le bouclier de protection des données?

Le bouclier de protection des données est un accord visant à protéger les données à caractère personnel de tout citoyen de l'Union transférées vers les États-Unis à des fins commerciales.

Il comporte des obligations pour les entreprises américaines recevant des données à caractère personnel en provenance de l'Union, ainsi que des obligations imposées aux autorités américaines si elles demandent, par la suite, l'accès à ces données à caractère personnel pour des raisons de sécurité nationale ou d'application des lois.

L'accord donne également aux citoyens de l'Union le droit d'introduire une réclamation s'ils estiment que leurs données à caractère personnel ne sont pas correctement protégées.

Le bouclier de protection des données fait également l'objet d'un réexamen annuel afin de s'assurer qu'il garantit toujours un niveau adéquat de protection des données à caractère personnel et de vérifier s'il est correctement mis en œuvre.

Comment la Commission a-t-elle élaboré le rapport du premier réexamen annuel du bouclier de protection des données?

Aux fins du réexamen annuel, les services de la Commission ont recueilli des informations et des réactions sur la mise en œuvre et le fonctionnement du cadre du bouclier de protection des données auprès de toutes les parties concernées, à savoir:

- des entreprises adhérant au bouclier de protection des données, par l'intermédiaire de leurs associations professionnelles respectives et

- des organisations non gouvernementales (ONG) actives dans le domaine des droits fondamentaux, notamment les droits numériques et le respect de la vie privée.

Ils ont aussi obtenu des informations des autorités américaines participant à la mise en œuvre du cadre.

Le premier réexamen annuel conjoint a eu lieu les 18 et 19 septembre 2017 à Washington, DC. Il a été lancé par la commissaire pour la justice, les consommateurs et l'égalité des genres, Věra Jourová, et le Secrétaire américain au commerce, Wilbur Ross. Le réexamen annuel a été réalisé, pour l'Union, par des représentants de la direction générale de la justice et des consommateurs de la Commission européenne. La délégation de l'UE comprenait également huit représentants désignés par le groupe de travail «article 29», l'organe consultatif réunissant les autorités nationales de protection des données des États membres, ainsi que le Contrôleur européen de la protection des données.

Du côté américain, des représentants du ministère du commerce, de la Commission fédérale du commerce, du ministère des transports, du Département d'État, du bureau du directeur des services de renseignement nationaux et du ministère de la justice ont participé au réexamen, ainsi que le médiateur faisant fonction, un membre du Conseil de surveillance de la vie privée et des libertés civiles et le bureau de l'inspecteur général des services de renseignement. En outre, des représentants d'organismes indépendants de règlement des litiges dans le cadre du bouclier de protection des données, de l'Association américaine d'arbitrage agissant en qualité d'administrateur du comité d'arbitrage du bouclier de protection des données et de certaines entreprises adhérant au bouclier de protection des données ont apporté leur contribution au cours du réexamen annuel.

Le réexamen annuel a en outre été alimenté par des documents publiquement accessibles, tels que des décisions de justice, des modalités d'application et procédures des autorités américaines concernées, des rapports et études d'ONG, des rapports de transparence publiés par des entreprises adhérant au bouclier de protection des données, des articles de presse et des rapports d'autres médias.

Quels nouveaux éléments les États-Unis ont-ils apportés au fonctionnement du bouclier de protection des données depuis son lancement?

Plusieurs nouveaux éléments ont été introduits par les États-Unis depuis l'année dernière:

  • le ministère du commerce a mis en place et affiné sa procédure de réception et d'examen des demandes d'entreprises qui souhaitent être certifiées dans le cadre du bouclier de protection des données;
  • le ministère du commerce a élaboré des questionnaires en tant qu'outils permettant de suivre en permanence le respect effectif, par les entreprises, des obligations leur incombant dans le cadre du bouclier de protection des données (les entreprises doivent répondre dans un délai de 30 jours); 
  • le ministère du commerce et la Commission fédérale du commerce, en coopération avec les autorités de protection des données de l'Union, ont mis en place des outils et instruments destinés à garantir une bonne coopération entre les autorités chargées de faire appliquer la législation des deux côtés de l'Atlantique. Par exemple, ils ont mis au point un modèle de formulaire de recours qui facilite le dépôt d'une réclamation contre une entreprise auprès du ministère du commerce en vue d'un examen complémentaire du respect de la réglementation si une autorité de protection des données considère que l'entreprise en question ne se conforme pas aux principes du bouclier de protection des données et ils ont recensé les points de contact pour les autorités de protection des données;
  • le Département d'État américain a pris des mesures visant à faire en sorte que le mécanisme du médiateur (l'instrument spécifique créé par le bouclier de protection des données pour traiter les réclamations concernant l'accès des autorités américaines aux données à caractère personnel à des fins de sécurité nationale), soit pleinement opérationnel et en mesure de recevoir et de traiter les réclamations. Il a en particulier mis en place une plateforme en ligne pour le médiateur et a élaboré un formulaire électronique au moyen duquel les réclamations provenant de l'Union peuvent être orientées vers le médiateur. Il a également établi les règles de procédure qui régissent la manière dont le médiateur traite les réclamations.

Quelles sont les principales recommandations adressées par la Commission aux autorités américaines?

Dans le domaine commercial, les recommandations de la Commission sont les suivantes:

  • la Commission recommande que les entreprises ne soient pas autorisées à annoncer publiquement qu'elles sont certifiées dans le cadre du bouclier de protection des données avant que le ministère du commerce n'ait mené à son terme la procédure de certification;
  • la Commission recommande également que le ministère du commerce effectue régulièrement des recherches concernant les entreprises faisant de fausses déclarations au sujet de leur participation au bouclier de protection des données;
  • la Commission recommande que le ministère du commerce effectue régulièrement des contrôles de conformité;
  • la Commission encourage le ministère du commerce et les autorités de protection des données à coopérer afin d'élaborer des lignes directrices sur l'interprétation juridique de certains concepts du bouclier de protection des données (par exemple en ce qui concerne le principe de responsabilité en cas de transfert ultérieur et la définition des données relatives aux ressources humaines);
  • la Commission recommande que le ministère du commerce et les autorités de la protection des données de l'Union intensifient leurs efforts de sensibilisation (par exemple, pour informer les citoyens sur la manière d'exercer leurs droits dans le cadre du bouclier de protection des données).

Dans le domaine de la sécurité nationale, les recommandations de la Commission sont les suivantes:

  • la Commission apprécierait que le Congrès des États-Unis se montre favorable à l'inscription, dans la loi américaine sur la surveillance et le renseignement étranger (FISA), des protections offertes aux ressortissants non américains par la directive stratégique présidentielle n° 28 (Presidential Policy directive 28) (PPD-28);
  • la Commission appelle l'administration américaine à désigner rapidement un médiateur permanent du bouclier de protection des données, ainsi que les personnes appelées à occuper les postes vacants au sein du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB);
  • la Commission demande la publication du rapport du PCLOB sur la mise en œuvre de la PPD-28.

Dans les domaines tant commercial que de la sécurité nationale, la Commission invite également les autorités américaines à respecter de manière proactive leur engagement à fournir des informations actualisées et complètes sur tout élément nouveau qui pourrait susciter des questions au sujet du fonctionnement du bouclier de protection des données.

Quelles sont les possibilités de réclamation à l'encontre d'une entreprise adhérant au bouclier de protection des données?

Le bouclier de protection des données fournit plusieurs moyens pour vous aider à introduire une réclamation contre une entreprise américaine si vous estimez qu'elle n'utilise pas vos données à caractère personnel correctement ou qu'elle ne respecte pas les règles. Vous pouvez introduire une réclamation, au choix, auprès:

  • de l'entreprise américaine elle-même;
  • d'un organisme indépendant de règlement extrajudiciaire des litiges;
  • d'une autorité nationale de protection des données;
  • du ministère américain du commerce;
  • de la Commission fédérale du commerce des États-Unis

Si votre réclamation n'est toujours pas tranchée après que vous avez utilisé les autres mécanismes de recours, ou si vous n'êtes pas satisfait de la façon dont votre réclamation a été traitée, vous avez le droit de demander réparation en introduisant une réclamation auprès du comité d'arbitrage du bouclier de protection des données.

Le guide du bouclier de protection des données UE-États-Unis de la Commission européenne fournit des informations plus détaillées sur ces différentes manières d'introduire une réclamation.

Quels éléments du système juridique américain sont particulièrement pertinents pour le respect des principes du bouclier de protection des données et pourquoi?

La PPD-28 et la FISA sont des éléments du système juridique américain qui revêtent une importance particulière dans le cadre du bouclier de protection des données.

La PPD-28 contient des limitations et des garanties pour la collecte et l'utilisation de données à caractère personnel par les autorités publiques américaines à des fins de sécurité nationale. Signée en 2014 par l'ancien président des États-Unis, Barack Obama, elle a été spécialement conçue pour protéger également la vie privée des ressortissants non américains. La PPD-28 dispose entre autres que les activités de surveillance des États-Unis doivent comporter des garanties appropriées pour les données à caractère personnel de toute personne, quels que soient sa nationalité et son lieu de résidence. Elle précise également que ces activités doivent toujours être aussi adaptées et ciblées que possible. Au cours du réexamen annuel, les autorités américaines ont expressément confirmé que l'administration américaine actuelle n'allait pas modifier la PPD-28.

La FISA contient l'une des principales dispositions juridiques autorisant les autorités publiques américaines à avoir accès aux données à caractère personnel de citoyens européens qui ont été transférées depuis l'Union vers des entreprises certifiées dans le cadre du bouclier de protection des données qui sont établies aux États-Unis: sa section 702 autorise l'obtention de renseignements étrangers au moyen du ciblage de ressortissants non américains se trouvant en dehors du territoire des États-Unis, avec l'assistance obligatoire des fournisseurs de services de communications électroniques américains. Parallèlement, la même la section 702 impose un certain nombre de conditions et limitations destinées à garantir une collecte ciblée.

Combien de demandes d'accès émanant des autorités de surveillance ont été reçues par les entreprises dans le cadre du bouclier de protection des données?

Un certain nombre d'entreprises certifiées dans le cadre du bouclier de protection des données publient des rapports de transparence, qui montrent le nombre (exprimé en groupes de 500) de demandes de divulgation de contenu de communications qu'une entreprise a reçues au cours d'une période de référence donnée. Entre janvier et juin 2016, Microsoft, par exemple, a reçu entre 0 et 499 demandes au titre de la FISA, qui ont concerné entre 12 000 et 12 499 comptes d'utilisateur. Au cours de la même période, Facebook a reçu entre 500 et 999 demandes d'accès à des contenus au titre de la FISA concernant entre 13 000 et 13 499 comptes d'utilisateur, tandis que Google a reçu entre 500 et 999 demandes de ce type, concernant entre 25 000 et 25 499 comptes. Ces chiffres montrent qu'exprimé en pourcentage du total des comptes d'utilisateur (Facebook, par exemple, a deux milliards de comptes actifs), le nombre de comptes concernés par des demandes d'accès des pouvoirs publics aux données à caractère personnel reste limité.

 

MEMO/17/3967

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar