Avis du G29 sur le « Privacy Shield »

Le 13 avril 2016, le G29 a publié son avis sur le niveau de protection des données personnelles assuré par le “Privacy Shield”, accord visant à assurer un niveau de protection suffisant aux données transférées de l’Union européenne vers les Etats-Unis. Le groupe de travail a salué les améliorations significatives de cet accord en comparaison avec le Safe Harbor qui avait été annulé. Le G29 a cependant déploré le manque de clarté de l’accord, composé d’une grande variété de documents rendant difficile la recherche d’informations, et a souligné que le mécanisme permettant aux citoyens européens d’exercer des recours concernant l’utilisation de leurs données personnelles était complexe, difficilement accessible, et par conséquent inefficace. Le G29 a également rappelé que le “Privacy Shield” devrait tenir compte du règlement européen sur les données personnelles. Le G29 a en outre émis des réserves quant à l’accès par les autorités publiques aux données transférées dans le cadre de l’accord.

 Pour lire l’avis du G29 (en anglais)

Présentation par la Commission européenne de l’accord sur le transfert des données aux Etats-Unis

Dans un communiqué du 29 février 2016, la Commission européenne a présenté les documents juridiques servant de support au “EU-US Privacy Shield” comprenant les principes du “bouclier de protection des données UE-EU” auxquels les entreprises opérant de tels transferts de données doivent adhérer, ainsi que son projet de “décision sur le caractère adéquat du niveau de protection” et les engagements écrits du gouvernement des Etats-Unis concernant la mise en œuvre du dispositif. La décision finale d’adéquation de ce nouvel accord aux exigences de protection définies par la Cour de justice de l’Union Européenne dans sa décision d’invalidation du Safe Harbor doit être adoptée par la Commission Européenne après consultation du G29.

Pour lire le communiqué de la Commission Européenne

Analyse par le G29 des conséquences de la décision invalidant le Safe Harbor

Dans un communiqué du 3 février 2016, le G29 a salué l’annonce de la conclusion, dans le délai fixé, d’un accord politique entre les Etats-Unis et la Commission Européenne sur le transfert de données personnelles depuis l’Europe vers les Etats-Unis. Le G29 a demandé à la Commission de lui communiquer l’accord avant la fin du mois de février pour l’analyser au regard des 4 garanties essentielles qu’il a identifiées dans la décision de la CJUE invalidant le Safe Harbor. Ainsi, le G29 rappelle que "les traitements doivent reposer sur des règles claires précises et compréhensibles", "la proportionnalité au regard de la finalité poursuivie doit être démontrée", "un mécanisme de contrôle indépendant doit exister" et "une possibilité de recours effectif doit être offerte aux citoyens".

Pour lire le communiqué du G29 (en anglais)

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Obligation d’information lors du transfert de données personnelles entre organismes publics

Dans un arrêt du 1er octobre 2015, la CJUE a jugé que la directive 95/46 relative à la protection des données à caractère personnel s’oppose à “des mesures nationales (…) qui permettent à une administration publique de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’[en] aient été informées”. En l’espèce, l’administration fiscale roumaine avait transmis à l’organisme de sécurité sociale des données relatives aux revenus déclarés de particuliers, sur la base desquelles avait été exigé le paiement d’arriérés de contributions au régime d’assurance maladie. Or, la loi encadrant ce transfert ne visait pas expressément les données relatives aux revenus, ce qui pour la Cour ne constitue pas “une information préalable permettant de dispenser le responsable du traitement de son obligation d’inform[ation]”.

Pour lire l’arrêt de la CJUE