Privacy Shield : un nouvel accord pour remplacer le « safe harbour »
La Cour de Justice de l’Union Européenne (CJUE) avait invalidé le « Safe harbour » en octobre 2015. Cet accord autorisait le transfert des données à caractère personnel des individus de l’Union Européenne (UE) vers les États-Unis. Le nouvel accord fournit un cadre qui régit le transfert de ces données « Privacy Shield » et comble le vide juridique (cadre des données à caractère personnel transférées hors EU).
Le texte juridique validé le 12 juillet 2016 par les instances de l’UE stipule :
- Le renforcement du cadre de surveillance par les Etats-Unis quant à l’utilisation et le partage des données ;
- La création d’un nouveau médiateur au sein du département d’état américain chargé de surveiller l’utilisation et l’accès des données transférés aux états-Unis concernant des individus de l’Union Européenne ;
- La limitation de la surveillance des données par les agences de renseignements américaines ;
- La création d’un mécanisme de règlement des litiges gratuit et accessible pour les résidents de l’Union Européenne.
Cependant, cet accord créé une incertitude sur la durée du « Privacy Shield » puisqu’il est revu annuellement.
Au-delà, de nombreuses voix estiment que les mesures ne vont pas assez loin en ce qui concerne les garanties sur la protection des données à caractère personnel. En ce sens, l’ensemble des organismes nationaux de contrôles des données à caractère personnel (CNIL en France) s’est prononcé le 25 Juillet 2016 en mettant en évidence d’importantes préoccupations. Elles concernent le volet commercial et l’accès par les autorités publiques américaines aux données transférées par l’UE. D’autre part l’accord pourrait faire l’objet d’attaques devant les tribunaux. De ce fait de nombreuses entités de place recommandent pour les nouveaux contrats que soient incorporées les clauses contractuelles type UE et qu’une demande d’autorisation de transfert soit faite auprès de l’autorité de protection des données à caractère personnel.
Il est aujourd’hui important pour les établissements d’anticiper les impacts et de se mettre en conformité avec ces réglementations. La gestion des données à caractère personnel et les enjeux qui en découlent pour les acteurs financiers est devenu un enjeu de taille.