Jackin - Fotolia
Safe Harbor : accord in extremis pour son successeur
C’est à la dernière minute que l’Europe et les Etats-Unis ont abouti à un accord de cadre réglementaire sur le traitement des données personnelles prenant la suite de Safe Harbor.
Il y avait urgence à trouver un successeur à Safe Harbor, invalidé à l’automne dernier par la Cour de Justice européenne. Et ce sera l’EU-US Privacy Shield. Dans un communiqué, la Commission assure que ce bouclier doit venir combler les lacunes qui mené son prédécesseur à sa fin.
En particulier, les entreprises traitant des données personnelles de ressortissants de l’Union vont devoir accepter de se soumettre à des conditions plus strictes et apporter la garantie des droits individuels des personnes concernées. C’est le ministère américain du Commerce qui devra jouer au gendarme et s’assurer du bon respect des engagements des entreprises concernées, avec la commission fédérale du commerce, la FTC, habilitée à engager des poursuites en cas de faute. Les entreprises concernées seront en outre contraintes par les décisions des régulateurs européens et devront répondre, dans des délais stricts, aux réclamations des particuliers. Le régulateur local restera le référent dans le pays européen concerné ; il servira d’intermédiaire avec le ministère américain du commerce et la FTC.
La Commission assure par ailleurs que les Etats-Unis ont accepté de limiter et d’encadrer « de manière claire » l’accès des autorités locales, notamment des fins de sécurité nationale, aux données personnelles des européens. En particulier, le nouvel accord exclut la surveillance de masse des données personnelles transférées : « pour surveiller le fonctionnement de cet accord, il y aura un examen conjoint annuel ».
Ce premier accord doit désormais être validé par les représentants des Etats membres. Dans une tribune, Annabelle Richard et Anne-Sophie Mouren, avocates Pinsent Masons, soulignent qu’il reste « encore beaucoup de zones d’ombre, notamment concernant l’éventuelle remise en cause par certaines autorités européennes des clauses contractuelles types pour le transfert de données vers les Etats-Unis ». Au final, les deux avocates estiment que « le chemin promet donc d’être encore long avant que ce nouveau bouclier ne soit réellement exploitable ou moins critiquable ».
Pour approfondir sur Réglementations et Souveraineté
-
DMA : face aux géants de la Tech, l’UE régule, les États-Unis reculent
-
DMA : des membres du Congrès américain craignent pour la compétitivité des géants du cloud
-
Log4Shell : les autorités américaines mettent les entreprises face à leurs responsabilités
-
Privacy Shield : « L’urgence, c'est de s’assurer que les bons véhicules de transfert sont déployés »