European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Bouclier de protection des données: il faut trouver une solution plus robuste et plus durable

Bouclier de protection des données: il faut trouver une solution plus robuste et plus durable

30/05/2016
30
May
2016

Bouclier de protection des données: il faut trouver une solution plus robuste et plus durable

En sa qualité d'autorité de contrôle indépendante des institutions de l'UE et de conseiller du législateur européen, le contrôleur européen de la protection des données (CEPD) a publié aujourd'hui son avis sur le Bouclier vie privée UE-États-Unis (EU-U.S. Privacy Shield). Il y propose des solutions pratiques pour répondre à certaines préoccupations suscitées par la proposition en question.

Giovanni Buttarelli, Contrôleur européen: «J'apprécie les efforts consentis pour trouver une solution de remplacement à la Sphère de sécurité (Safe Harbour) mais, en son état actuel, le Bouclier vie privée n'est pas assez solide pour résister à un futur examen juridique par la Cour. Des améliorations importantes s'imposent si la Commission européenne souhaite pouvoir adopter une décision constatant le caractère adéquat du niveau de protection, pour respecter l'essence des principes clés de la protection des données, notamment en ce qui concerne les exigences de nécessité et de proportionnalité et les mécanismes de recours. De surcroît, il est temps d'élaborer une solution à plus long terme dans le dialogue transatlantique.»

En avril 2016, le groupe de travail Article 29 a émis un avis sur la proposition de  Bouclier vie privée, auquel le CEPD a contribué en tant que membre du groupe. Cet avis comprend une analyse juridique détaillée et une demande de précisions concernant un certain nombre de préoccupations. L'avis du CEPD s'inscrit dans le cadre de sa mission de conseiller indépendant auprès des institutions de l'UE sur les implications des politiques ayant une incidence sur les droits au respect de la vie privée et à la protection des données.

Pour être efficace, le Bouclier vie privée doit fournir une protection adéquate contre la surveillance non ciblée, ainsi que des obligations en matière de contrôle, de transparence, de recours et de droits à la protection des données. Le CEPD indique comment il conçoit le fonctionnement de l'équivalence substantielle en pratique dans le contexte de l'autorégulation des organisations privées, avec la possibilité d'évaluations régulières des données en transit ou transférées vers les États-Unis par les services répressifs et de renseignement.

Le nouveau règlement général sur la protection des données doit être mis pleinement en œuvre dans l'ensemble de l'UE en mai 2018, et le CEPD souligne qu'il sera applicable à toutes les questions relatives à la protection des données, y compris les transferts de données. Eu égard aux observations et préoccupations dont lui ont fait part les députés européens, les acteurs de l'industrie et de la société civile, les milieux universitaires et d'autres interlocuteurs, le CEPD conseille vivement aux législateurs de prendre le temps qu'il faudra pour trouver une solution appropriée qui soit aussi une solution à long terme.

Il estime qu'il importe que toutes les règles que sont tenues de respecter les entreprises internationales fournissant des biens et des services dans l'UE soient parfaitement claires.

Dans l'UE, nous n'exerçons pas de discrimination fondée sur la nationalité. Le Bouclier vie privée doit prendre en compte les principes clés de protection des données afin d'assurer l'équivalence substantielle entre les législations de l'UE et des États-Unis.

Informations complémentaires

Les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001.  Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation ayant une influence sur la vie privée, et de coopérer avec des autorités de même nature afin de garantir une protection des données qui soit cohérente.

Giovanni Buttarelli (Contrôleur) et Wojciech Wiewiórowski (Contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Ils sont entrés en fonction le 4 décembre 2014, pour un mandat de cinq ans.

Informations ou données à caractère personnel: toute information concernant une personne physique (vivante) identifiée ou identifiable. Par exemple: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finaux de services de communication, ou fournies par ces derniers, sont également considérées comme des données à caractère personnel.

Respect de la vie privée: droit reconnu à une personne d'être laissée tranquille et de contrôler les informations la concernant. Le droit au respect de la vie privée est consacré par la Déclaration universelle des droits de l’homme (article 12), la Convention européenne des droits de l’homme (article 8) et la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).

Traitement des données à caractère personnel: aux termes de l’article 2, point b), du règlement (CE) n° 45/2001, on entend par «traitement de données à caractère personnel» toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.» Voir le glossaire figurant sur le site internet du CEPD.

Bouclier vie privée: en octobre 2015, la Cour de justice de l'Union européenne a invalidé le cadre de la Sphère de sécurité, parce qu'il ne garantissait pas un niveau suffisant de protection des données à caractère personnel pour les données transférées de l'UE vers les États-Unis, comme l'exige la législation de l'UE. En février 2016, la Commission européenne et le ministère américain du commerce (Department of Commerce) ont annoncé le projet de «Bouclier vie privée UE-États-Unis» en remplacement de ce dispositif.

L'accord-cadre entre l'UE et les États-Unis (Umbrella Agreement) couvre les transferts transatlantiques de données effectués à des fins d'ordre public tandis que le bouclier de protection des données UE-États-Unis couvre les échanges de données à des fins commerciales.