Une banque française enjointe d’effacer les données de son client transmises par erreur à l’administration fiscale américaine

Une banque française avait transmis, par erreur, les données d’un de ses clients à l’administration fiscale américaine en application de la règlementation américaine FATCA (Foreign Account Tax Compliance Act). Afin de mettre en œuvre cette règlementation, les autorités françaises et américaines ont en effet conclu un accord imposant aux établissement bancaires français de déclarer à l’administration fiscale américaine les informations relatives à leurs clients soumis au droit fiscal américain. Par un arrêt du 12 mars 2019, la Cour d’appel de Grenoble a confirmé l’ordonnance de référé qui avait ordonné à la banque française auteure de cette erreur de procéder à “l’effacement total de toutes informations personnelles [du client] du traitement opéré en France dans le cadre de FATCA” et de “faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort” le client.

Pour lire l’arrêt sur Legalis.net

La Commission européenne adopte une décision d’adéquation relative au système japonais de protection des données personnelles

Par cette décision adoptée le 23 janvier 2019, la Commission européenne ouvre la voie au transfert sécurisé de données personnelles entre le Japon et l’Union européenne. Le Japon a en effet mis en place des garanties supplémentaires, notamment un ensemble de règles permettant de réduire les différences entre les deux systèmes de protection ainsi qu’un mécanisme de traitement des plaintes des Européens concernant l’accès à leurs données par les autorités japonaises. Cette décision d’adéquation assure aux responsables de traitement "que les données transférées de l'Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes". Tout comme la décision japonaise équivalente, elle est entrée en application ce 23 janvier 2019. Un premier réexamen conjoint aura lieu dans deux ans, afin de s’assurer du fonctionnement de ce cadre.

Pour lire le communiqué de presse de la Commission européenne

Avis du G29 sur le « Privacy Shield »

Le 13 avril 2016, le G29 a publié son avis sur le niveau de protection des données personnelles assuré par le “Privacy Shield”, accord visant à assurer un niveau de protection suffisant aux données transférées de l’Union européenne vers les Etats-Unis. Le groupe de travail a salué les améliorations significatives de cet accord en comparaison avec le Safe Harbor qui avait été annulé. Le G29 a cependant déploré le manque de clarté de l’accord, composé d’une grande variété de documents rendant difficile la recherche d’informations, et a souligné que le mécanisme permettant aux citoyens européens d’exercer des recours concernant l’utilisation de leurs données personnelles était complexe, difficilement accessible, et par conséquent inefficace. Le G29 a également rappelé que le “Privacy Shield” devrait tenir compte du règlement européen sur les données personnelles. Le G29 a en outre émis des réserves quant à l’accès par les autorités publiques aux données transférées dans le cadre de l’accord.

 Pour lire l’avis du G29 (en anglais)

Présentation par la Commission européenne de l’accord sur le transfert des données aux Etats-Unis

Dans un communiqué du 29 février 2016, la Commission européenne a présenté les documents juridiques servant de support au “EU-US Privacy Shield” comprenant les principes du “bouclier de protection des données UE-EU” auxquels les entreprises opérant de tels transferts de données doivent adhérer, ainsi que son projet de “décision sur le caractère adéquat du niveau de protection” et les engagements écrits du gouvernement des Etats-Unis concernant la mise en œuvre du dispositif. La décision finale d’adéquation de ce nouvel accord aux exigences de protection définies par la Cour de justice de l’Union Européenne dans sa décision d’invalidation du Safe Harbor doit être adoptée par la Commission Européenne après consultation du G29.

Pour lire le communiqué de la Commission Européenne

Analyse par le G29 des conséquences de la décision invalidant le Safe Harbor

Dans un communiqué du 3 février 2016, le G29 a salué l’annonce de la conclusion, dans le délai fixé, d’un accord politique entre les Etats-Unis et la Commission Européenne sur le transfert de données personnelles depuis l’Europe vers les Etats-Unis. Le G29 a demandé à la Commission de lui communiquer l’accord avant la fin du mois de février pour l’analyser au regard des 4 garanties essentielles qu’il a identifiées dans la décision de la CJUE invalidant le Safe Harbor. Ainsi, le G29 rappelle que "les traitements doivent reposer sur des règles claires précises et compréhensibles", "la proportionnalité au regard de la finalité poursuivie doit être démontrée", "un mécanisme de contrôle indépendant doit exister" et "une possibilité de recours effectif doit être offerte aux citoyens".

Pour lire le communiqué du G29 (en anglais)

Nouvel accord de principe sur le transfert de données à caractère personnel entre la Commission européenne et les États-Unis

La Commission européenne a annoncé le 2 février 2016, avoir trouvé un accord politique avec les États-Unis sur la protection des données personnelles. Cet accord fait suite à l’annulation du Safe Harbor par la CJUE qui avait considéré que les États-Unis n’assuraient pas un niveau de protection suffisant des données personnelles transférées. Selon le communiqué, le nouvel accord intitulé EU-US Privacy Shield respecterait le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données personnelles provenant de l’Union Européenne. Les États-Unis s’engageraient également à ce que l’accès aux autorités publiques des données transférées soit limité et encadré. La Commission doit désormais élaborer un projet de décision qui devra être soumis pour avis au G29 et pour consultation à un comité composé de représentants des États membres.

Pour lire le communiqué de la Commission européenne (en anglais)

Obligation d’information lors du transfert de données personnelles entre organismes publics

Dans un arrêt du 1er octobre 2015, la CJUE a jugé que la directive 95/46 relative à la protection des données à caractère personnel s’oppose à “des mesures nationales (…) qui permettent à une administration publique de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’[en] aient été informées”. En l’espèce, l’administration fiscale roumaine avait transmis à l’organisme de sécurité sociale des données relatives aux revenus déclarés de particuliers, sur la base desquelles avait été exigé le paiement d’arriérés de contributions au régime d’assurance maladie. Or, la loi encadrant ce transfert ne visait pas expressément les données relatives aux revenus, ce qui pour la Cour ne constitue pas “une information préalable permettant de dispenser le responsable du traitement de son obligation d’inform[ation]”.

Pour lire l’arrêt de la CJUE