La Protection Des Données Personnelles Est-elle Assurée Entre l’Europe Et Les Etats-Unis?

Le régime «Safe Harbor» sur la protection des données personnelles entre les Etats-Unis et l’Union européenne (UE) a été invalidé par la Cour de justice de l’Union européenne (CJUE), qui stipule que la confiance de la Commission dans la protection des données personnelles de la part des autorités américaines ne peut guère empêcher les autorités nationales de suspendre le transfert des données des internautes européens par les serveurs situés aux Etats-Unis.

Il y a toujours eu une différence substantielle entre les approches américaine et européenne quant à la protection des données personnelles pour des raisons philosophiques ou historiques. Les États-Unis suivent le principe de l’autorégulation, qui établit que la protection de la vie privée doit être en harmonie avec les besoins de l’économie de marché. Par conséquent, il n’est pas prioritaire pour les entreprises de protéger la vie privée sachant qu’une protection très stricte nuirait au marketing des entreprises. L’approche américaine est donc ad hoc et très sectorielle. Il n’y a pas de législation uniforme sur la protection de la vie privée: il existe des lois fédérales, des législations spécifiques et les décisions des tribunaux (par exemple sur l’auto-régulation dans le secteur bancaire).

Quant à l’UE, celle-ci adopte une approche généraliste et centralisée (à l’exception de la communication électronique). L’UE considère la vie privée comme un droit fondamental, et sa législation est inspirée du principe du traitement équitable des données à caractère personnel. D’où la directive concernant le traitement des données personnelles (directive 46/95).
Le principal objectif de la directive est d’assurer un niveau élevé de protection des données, à la fois à l’intérieur qu’à l’extérieur de l’Union. Si la Commission estime que le niveau de protection dans un pays tiers n’est pas suffisant, il est possible d’empêcher le transfert de données. L’effet pratique de cette situation est énorme: un hôtel situé en Europe faisant partie d’une chaîne d’hôtel américaine pourrait se voir empêché d’envoyer des données aux États-Unis, rendant tout à coup impossible pour cette multinationale de centraliser les données à d’autres fins que ce soit par exemple pour la facturation et à des fins de marketing.
Cette divergence entre les Etats-Unis et l’UE sur la protection des données personnelles, aurait représenté un risque en termes de flux de données et ainsi provoqué des entraves aux échanges entre les parties.

ACCORD « SAFE HARBOR »

Pour ces raisons, l’UE et les États-Unis ont convenu d’un régime dit « Safe Harbor » (« sphère de sécurité »), approuvé par l’UE en 2000. L’objectif principal de cet accord était de combiner les deux approches divergentes à l’égard de la protection des données personnelles. Cet accord était une sorte de compromis comme il a été conçu pour résoudre les insuffisances de la législation américaine sans l’adoption de mesures législatives particulières. L’accord intervenait pour chaque transfert de données de l’UE vers les États-Unis en contraignant les sociétés situées aux Etats-Unis à un minimum d’ exigences essentielles relatives à la protection des données personnelles. Ce régime a accordé un cadre juridique plus clair des entreprises opérant en Europe.

SCHREMS VS PROTECTION DES DONNÉES (affaire C-362/14)

En Octobre 2015, la CJUE a invalidé l’accord « Safe Harbour » suite au traitement d’une plainte déposée par Maximillian Schrems, un utilisateur de Facebook. M. Schrems, après une demande formelle adressée à Facebook, a pris conscience de la grande quantité de données que Facebook stockait sur lui. Craignant que ses données soient traitées aux États-Unis, il a déposé une plainte contre la filiale européenne de Facebook, Facebook Ireland Ltd, qui est la partie contractante pour tous les utilisateurs du service en Europe. L’autorité irlandaise de protection des données a rejeté la plainte, sous le motif que le siège américain de Facebook Inc. était contraint par l’accord « Safe Harbour”, et que par conséquent, les données personnelles étaient réputées suffisamment protégées.

Toutefois, la CJUE, suivant l’avis de l’avocat général, a jugé que la confiance de la Commission dans la protection des données personnelles par les autorités américaines n’empêchait pas les autorités nationales de suspendre le transfert de données des abonnés européens de Facebook à des serveurs situés aux Etats-Unis. La Cour a considéré que outre-Atlantique, les questions de sécurité nationales avaient priorité sur la protection des données personnelles. De ce fait, les autorités américaines peuvent demander à Facebook (mais aussi Google et Microsoft, notamment) de déroger à l’accord « Safe Harbour » pour des raisons de sécurité nationale, avec le risque d’ingérence sur les droits fondamentaux des personnes que cela entrainerait. Ainsi, la CJUE, par cette importante décision, a rendu invalide l’accord « Safe Harbor » sur les données personnelles.

APRÈS LE« SAFE HARBOR »

Après ce jugement, l’UE et les Etats-Unis tentent de mettre en place un autre accord dans un court laps de temps afin d’assurer que ce genre de veto imposé par la CJUE ne porte pas atteinte au business entre les entreprises européennes et américaines. Dans l’intervalle, il existe encore d’autres moyens juridiques pour transférer des données personnelles de l’UE aux Etats-Unis :

1. Les accords spécifiques permettant le transfert de données. Ces accords doivent être atteints par le biais de contrats spécifiques entre entreprises.

2. Les demandes de consentement explicite des personnes concernées par le transfert de leurs données personnelles aux États-Unis. Il est difficile de réaliser cette opération pour les réseaux englobant des millions d’utilisateurs.

Les données personnelles peuvent toujours circuler mais la divergence de vues entre l’UE et les Etats-Unis ainsi que le droit de regard des administrations fédérales au nom de la sécurité nationale rend la circulation difficile. L’avenir reste à construire. Nul doute que les multinationales devront porter attention à cette divergence juridique à l’avenir.

By | 2017-05-09T03:52:12+00:00 January 25th, 2016|News|