Le transfert de données à caractère personnel des citoyens européens en dehors de l'Union européenne n'est autorisé que lorsque le pays de destination offre un niveau de protection suffisant (ou « adéquat ») des données personnelles. Ce niveau de protection est déterminé notamment par la directive n° 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Le 12 juillet 2016, la Commission européenne a adopté une décision visant à régler les échanges de données à caractère personnel entre l'Union européenne et les Etats-Unis. Le dispositif de « Privacy Shield » ainsi adopté doit avoir pour effet de sécuriser le transfert de données depuis l'Union européenne vers les entreprises établies aux Etats-Unis utilisant ce système.

Ce nouveau cadre réglant les échanges de données transatlantiques succède au « Safe Harbor » qui avait été invalidé par l'arrêt 6 octobre 2015 de la Cour de justice en raison de plusieurs incompatibilités relevées par rapport au niveau de protection des données personnelles garanti par le droit européen [1].

Le Privacy Shield adopté par la Commission tend à pallier les carences de l'ancien système de Safe Harbor. Les grands principes sur lesquels est fondé le Privacy Shield et les améliorations par rapport à l'ancien système sont les suivants:

• des obligations strictes pour les entreprises qui traitent des données: dans le cadre du nouveau dispositif, le ministère américain du Commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes, afin de veiller à ce qu'elles observent les règles auxquelles elles ont souscrit. Les entreprises dont la pratique ne sera pas conforme aux nouvelles règles s'exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif;
• un accès des pouvoirs publics américains soumis à des conditions claires et à des obligations de transparence: les Etats-Unis ont donné à l'Union européenne l'assurance que l'accès des pouvoirs publics aux données à des fins d'ordre public et de sécurité nationale serait soumis à des limitations, à des conditions et à des mécanismes de surveillance bien définis. Dans ce contexte, les Etats-Unis ont exclu toute surveillance de masse systématique des données à caractère personnel transférées vers leur territoire;
• une protection effective des droits individuels: tout citoyen estimant que les données le concernant ont fait l'objet d'une utilisation abusive dans le cadre du bouclier de protection des données bénéficiera de plusieurs mécanismes de règlement des litiges. Des solutions gratuites de règlement extrajudiciaire des litiges seront proposées par l'entreprise. L'intéressé pourra également s'adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale américaine du commerce pour que les plaintes déposées par les citoyens de l'Union soient examinées et réglées. Lorsqu'un litige n'aura pas été réglé par l'un de ces moyens, un mécanisme d'arbitrage sera disponible, en dernier ressort;
• un mécanisme de réexamen annuel conjoint: ce mécanisme permettra de contrôler le fonctionnement du bouclier de protection des données, et notamment le respect des engagements et des assurances concernant l'accès aux données à des fins d'ordre public et de sécurité nationale. Le réexamen sera mené par la Commission européenne et le ministère américain du Commerce.