Depuis que le « Safe Harbor » a été déclaré invalide par la Cour de Justice de l’Union Européenne le 6 octobre 2015, un nouvel accord facilitant le transfert des données personnelles vers les Etats-Unis était particulièrement attendu.
Après des mois de négociations entre la Commission européenne et le Département du commerce américain, le projet d’accord-cadre intitulé « Privacy Shield » qui a pour objectif d’offrir aux citoyens européens des garanties adéquates pour la protection de leurs données a été présenté en détail le 29 février 2016.
Ainsi, le « Privacy Shield » devra imposer aux entreprises de « fortes obligations » avec une mise en œuvre « robuste » qui auront force obligatoire en droit américain et dont le contrôle « régulier et rigoureux » sera assuré par le Département du commerce américain. A ce titre, les entreprises auront notamment l’obligation de répondre sous 45 jours aux réclamations des citoyens européens et devront inclure sur leur site Internet un lien hypertexte menant directement à des formulaires de réclamations.
Plus encore, le « Privacy Shield » devra fournir aux citoyens européens des mécanismes de recours accessibles et abordables tels qu’un organe de résolution des litiges alternatif et gratuit. Dans le même sens, les citoyens pourront également saisir les autorités nationales de régulation qui travailleront en étroite collaboration avec le Département du commerce et la « Federal Trade Commission » afin de résoudre les litiges.
Enfin, la coopération entre la Commission européenne et les institutions américaines sera renforcée et conduira chaque année à un réexamen du « Privacy Shield » qui permettra d’en « contrôler le fonctionnement ».
Par ailleurs, le gouvernement américain a apporté des garanties concernant la collecte massive de données à des fins de sécurité nationale qui devra être soumise à « des limitations, des conditions et des mécanismes de supervision bien définis ». A ce titre, un médiateur indépendant des autorités nationales de sécurité sera nommé.
Les entreprises américaines souhaitant bénéficier de ce mécanisme devront patienter jusqu’à la décision finale du Collège des Commissaires européens qui sera rendue après avis du G29 prévu pour la séance plénière des 12 et 13 avril 2016. Durant cette période transitoire, il est recommandé de recourir soit aux Clauses Contractuelles Types adoptées par la Commission européenne, soit aux « Binding Rules Corporation ». En outre, les entreprises souhaitant bénéficier de ce mécanisme sont encouragées à préparer dès maintenant l’application des conditions du « Privacy Shield » afin de pouvoir en bénéficier dès que la décision définitive sera rendue.