14ème législature

Question N° 98761
de M. Lionel Tardy (Les Républicains - Haute-Savoie )
Question écrite
Ministère interrogé > Justice
Ministère attributaire > Justice

Rubrique > télécommunications

Tête d'analyse > Internet

Analyse > données personnelles. accord européen.

Question publiée au JO le : 06/09/2016 page : 7879
Réponse publiée au JO le : 04/04/2017 page : 2753
Date de changement d'attribution: 07/12/2016
Date de renouvellement: 13/12/2016

Texte de la question

M. Lionel Tardy interroge M. le garde des sceaux, ministre de la justice sur l'accord « Privacy Shield », établi entre l'Union européenne et les États-Unis, et adopté le 12 juillet 2016. Le G29 s'est montré inquiet quant à son contenu : manque de garanties concrètes, incertitude sur l'application pratique de certains principes, etc. Indépendamment du fait que cet accord pourra être révisé annuellement, il souhaite connaître la position de la France quant à son contenu. Il souhaite également connaître les marges de manœuvre dont disposera la Commission nationale de l'informatique et des libertés (CNIL) pour contrôler cet accord.

Texte de la réponse

La directive du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, prévoit que le transfert de telles données vers un pays tiers ne peut, en principe, avoir lieu que si le pays tiers en question assure un niveau de protection adéquat de ces données. À cet égard, la Commission européenne est habilitée, par cette directive, à constater, par une décision d'adéquation, qu'un pays tiers à l'Union européenne assure, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection « substantiellement équivalent » à celui garanti au sein de l'Union européenne. Or, par un arrêt du 6 octobre 2015, Maximillian Schrems (C-362/14), la Cour de justice de l'Union européenne a invalidé la décision d'adéquation dite « Safe Harbor » qui avait constaté en 2000 que les Etats-Unis assuraient un niveau adéquat de protection. Des négociations se sont alors ouvertes entre la Commission européenne et les autorités américaines pour tirer les conséquences de l'arrêt. À cet égard, le Gouvernement a été particulièrement vigilant à ce que la Commission européenne veille au respect des droit des personnes concernées, tout en appuyant une conclusion rapide de l'accord compte tenu du nombre de transferts en jeu et des conséquences économiques de la disparition rétroactive de cette base légale pour le transfert des données vers les Etats-Unis. La Commission européenne a finalement adopté le 12 juillet 2016 une décision d'adéquation visant à reconnaître au nouveau mécanisme du « bouclier de protection des données UE-États-Unis » dit "Privecy Shield" un niveau de protection « substantiellement équivalent » aux exigences européennes. Depuis cette date, cette décision autorise le transfert de données à caractère personnel de l'Union européenne vers les États-Unis en rendant plus sûrs les flux de données pour des milliers de personnes ainsi que d'entreprises européennes et américaines. Le Groupe article 29 (G29) a adopté, le 13 avril 2016, un avis quant au contenu d'une première version de cette décision de la Commission européenne. La Commission européenne a depuis complété sa décision sur le fondement des documents et engagements des autorités américaines concernées et des recommandations de ce groupe. Cela étant, la directive du 24 octobre 1995 précise que la Commission européenne est seule compétente pour adopter une telle décision par application de l'article 25 (2) de la directive précitée. Le contenu de cette décision repose sur un système d'autocertification des organisations qui doivent s'engager à respecter les règles prévues par la décision (UE) 2016/1250 sur le « bouclier de protection des données UE-États-Unis ». Selon la Cour de justice de l'Union européenne dans son arrêt Schrems précité,  un mécanisme d'autocertification n'est pas en lui-même contraire à la directive 95/46/CE. La Cour précise toutefois que l'autocertification doit s'accompagner de contrôles. À ce titre, la décision d'adéquation de la Commission européenne prévoit que l'administration américaine assurera la supervision du « bouclier de protection des données UE-États-Unis ». La décision précise que si l'administration américaine n'est pas compétente pour mener des contrôles sur place, elle a néanmoins le pouvoir de contraindre les responsables de traitement à produire tout élément utile et peut avoir recours au juge en cas d'inexécution. Toujours quant au contenu, les principes du « Safe Harbor », aujourd'hui invalidé, ont été renforcés et complétés dans le cadre de la décision « bouclier de protection des données UE-États-Unis » : les voies de recours sont clarifiées ; un droit d'accès est consacré ; une obligation à la charge des sous-traitants est créée consistant à informer l'organisme lui transférant les données de ce qu'il n'est plus en mesure d'assurer un niveau de protection suffisant ; enfin, une revue annuelle conjointe de l'accord est prévue. Quant aux marges de manœuvre dont disposera la Commission nationale de l'informatique et des libertés (CNIL) pour contrôler cet accord, il convient de rappeler le point 53 de l'arrêt Schrems, précité : « une décision de la Commission adoptée au titre de l'article 25, paragraphe 6, de la directive 95/46 […] », telle que la décision « Privacy Shield », « […] ne saurait empêcher les personnes dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers de saisir les autorités nationales de contrôle d'une demande, au sens de l'article 28, paragraphe 4, de cette directive […]. De même, une décision de cette nature ne saurait, […], ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l'article 8, paragraphe 3, de la Charte ainsi que par l'article 28 de ladite directive. ». La CNIL dispose donc de l'ensemble des pouvoirs que lui confère l'article 28. Cela étant, la protection des droits fondamentaux des personnes concernées, particulièrement le droit à la protection des données et à la vie privée, est un engagement à long terme pour le gouvernement français. Comme les autorités françaises l'ont fait savoir dans le cadre des négociations, elles porteront une attention particulière à la mise en œuvre de la décision d'adéquation. La revue annuelle conjointe, prévue par la décision de la Commission européenne, offre ainsi une opportunité particulière de maintenir un dialogue avec les autorités américaines, ce qui permettra d'identifier et de résoudre tout problème qui pourrait résulter de l'application de ce nouveau cadre.