Pour sécuriser la transmission de données commerciales entre les États-Unis et l’Union européenne, plusieurs dispositions sont prises. Parmi ces dispositions, figure l’élaboration du Privacy Shield (bouclier de protection des données entre l’UE et les États-Unis). Il s’agit d’une excellente solution pour pallier les fuites d’informations commerciales. Cet article fait le point sur le 3e examen annuel du Privacy Shield qui s’est tenu en septembre 2019 à Washington.
Qu’est-ce que le Privacy Shield ?
Lancé officiellement mi-2016 pour succéder aux Safe Harbor Privacy Principles, le Privacy Shield est un traité de protection des données des citoyens européens. Concrètement, il s’agit d’un accord dont l’objectif est de sécuriser les informations d’ordre personnel collectées dans le cadre du e-commerce par les entreprises installées aux États-Unis. Voici un aperçu des données concernées :
- les numéros de téléphone ;
- les identifiants ;
- les numéros de carte de crédit ;
- les adresses des citoyens de l’UE ;
- les données relatives aux comptes (apparence d’une personne, son sexe, son âge…).
Malheureusement, l’efficacité du Privacy Shield a été remise en cause en juillet 2020 pour plusieurs raisons. Il n’est donc plus une référence en matière de gestion des données privées entre les USA et l’Europe. Néanmoins, son utilité reste incontestable.
Le Privacy Shield examiné chaque année
Pour assurer l’efficacité du Privacy Shield sur le long terme, il a été convenu qu’il fera l’objet d’un examen annuel. Celui-ci porte généralement sur l’évaluation de son fonctionnement et la vérification de son efficacité. Lors de cet examen, plusieurs propositions peuvent être également faites pour remédier aux insuffisances relevées. À ce jour, plusieurs examens annuels ont été effectués sous l’aval des institutions compétentes.
La dernière évaluation en date (3e examen annuel du Privacy Shield) s’est articulée autour des principaux fondements du Privacy Shield, depuis son adoption en 2016. Elle s’est également intéressée aux avancées juridiques en ce qui concerne la sécurité des données marchandes, notamment en Amérique. L’analyse des accès aux informations qui se rapportent à la sécurité nationale de chaque pays était aussi à l’ordre du jour.
Les conclusions de la troisième mise en examen du Privacy Shield
Lors de la séance de travail pour l’évaluation du Privacy Shield en 2019, la Commission d’examen a également effectué des nominations au sein des principaux organes de contrôle. Cette solution vient à point nommé pour renforcer les améliorations observées au niveau du bouclier.
Cependant, les informations recueillies pointent du doigt certains problèmes qui minent le fonctionnement et la mise en œuvre pratique du bouclier de protection. La Commission d’examen a donc proposé un certain nombre de mesures concrètes pour corriger ces lacunes.
La fixation des délais pour les démarches de recertification
Le Département du commerce doit réduire les délais accordés aux entreprises qui doivent réaliser leurs formalités de recertification. Il est convenu que 30 jours suffisent largement aux structures concernées pour finaliser les démarches de conformités requises.
Une lettre d’avertissement sera transmise par le département du Commerce aux entreprises qui dérogeraient à cette règle. Elles seront informées de l’urgence de se conformer à cette prescription, au risque de subir des pénalités.
L’évaluation du respect des dispositions de confidentialité
L’une des préconisations de la Commission d’examen du Privacy Shield se rapporte à la procédure de contrôle ponctuel qu’effectue le Département du commerce. Désormais, l’organe de contrôle devra évaluer à quel point les sociétés partenaires se montrent responsables lors du processus de gestion et de transfert des données des tiers.
Elle peut aussi demander une copie ou un résumé représentatifs des dispositions relatives à la confidentialité d’un contrat conclu par une entreprise certifiée Privacy Shield dans le cadre d’un transfert ultérieur.
La proposition d’outils de détection des fausses déclarations
Le Département du commerce réfléchit à la mise en place d’outils qui pourront détecter les fausses déclarations de participation au bouclier de protection des données. En réalité, les données recueillies avant l’examen du Privacy Shield indiquent que certaines entreprises qui n’ont jamais demandé de certification se présentent comme étant certifiées Privacy Shield. Les outils de détections de fraudes à élaborer seront utilisés de manière régulière et systématique pour assainir le marché.
La recherche de solutions de partage d’informations
La Commission fédérale du commerce a également indiqué la nécessité de multiplier les moyens de divulgation des informations utiles recueillies lors des différentes enquêtes réalisées. Cela permettra de communiquer plus facilement avec les autorités de protection des données de l’UE et d’harmoniser les différentes actions entreprises. L’objectif est d’assurer une mise en œuvre efficace des préconisations du Privacy Shield.
La définition de nouvelles orientations
On retient aussi du troisième examen annuel du Privacy Shield que dans les prochains mois, des orientations communes en ce qui concerne la définition et le traitement des données relatives aux ressources humaines doivent être élaborées. Ces nouvelles orientations concerneront à la fois les instances de protection des données de l’UE, le département du commerce et la commission fédérale du commerce. De plus, la Commission d’examen a pris l’engagement de continuer à suivre de près les prochains développements de plusieurs composantes spécifiques du bouclier de protection des données, à savoir :
- le fonctionnement du mécanisme du médiateur (en cas de plainte) ;
- la réautorisation de la loi sur la surveillance des renseignements étrangers (maintien des garanties existantes) ;
- l’évolution de la jurisprudence américaine sur les recours judiciaires dans le cadre de la surveillance gouvernementale…
Les résultats des projets de surveillance lancés par le Conseil de surveillance de la vie privée et des libertés civiles sont également un point que la Commission a promis de suivre de près. Enfin, la Commission s’occupera aussi du suivi minutieux du débat en cours concernant les législations sur la protection de la vie privée aux États-Unis. Une approche globale de la vie privée et de la protection des données augmenterait la convergence entre les systèmes de l’UE et des États-Unis. Cela permettra de renforcer les bases sur lesquelles le cadre du bouclier de protection des données a été élaboré.
En conclusion, même si l’efficacité du Privacy Shield a été remise en question, il représente un excellent atout pour le commerce international entre les deux continents. Cela a été confirmé par les mesures adoptées au cours du 3e examen annuel. Les nouvelles résolutions prises sont de nature à améliorer l’efficacité du bouclier de protection des données.
