Considéré comme un bouclier de protection des données personnelles circulant entre l’Union européenne et les États-Unis, le Privacy Shield, négocié entre 2015 et 2016, n’est pas compris de la même manière par les deux parties. En effet, des examens sur l’application du processus ont fait jaillir plus de questionnement qu’autre chose. Dans cet article nous allons faire un petit point sur les résultats divergents entre opinions européennes et américaines.
Un code à double tranchant pour les échanges d’informations transatlantiques
Le Privacy Shield, en remplacement du Safe Harbor en juillet 2016, représente l’accord entre 28 États membres de l’Union européenne qui admettent que les entreprises aux États-Unis possèdent le niveau adéquat de protection des données personnelles. Cet accord offre les garanties juridiques nécessaires pour ce genre de transaction. Grâce à cette convention et suivant son respect dans les détails, une entreprise européenne peut, sans problème, transmettre aux États-Unis des données personnelles de ses citoyens. Suite à un examen fait par la CNIL et ses homologues des États membres de l’Union européenne, le processus d’auto-certification de certaines entreprises peut les rendre responsables, mais peut aussi les obliger à fournir des renseignements clairs qui sont susceptibles de donner la possibilité à un individu de s’opposer au traitement de ses informations personnelles.
Diffusion de données RH
Malgré les procédures mises en place pour une bonne application du bouclier de protection des données ou « Privacy Shield », des examens sur la pratique du processus révèlent encore quelques failles à réparer. Il faut savoir que ledit bouclier s’applique sur tous les types de données à caractère personnel tels que les données commerciales, les données de santé ou de ressources humaines, depuis l’entité détentrice des informations en Union européenne vers la société destinataire aux États-Unis (à condition que cette dernière applique dans les règles les conditions du Privacy Shield). Des mécanismes de contrôle de conformité sont donc demandés à Washington pour prévenir et les informations devraient être revues parce qu’elles sont majoritairement fournies en interne. La surveillance du bon fonctionnement du procédé par la CNIL peut s’avérer défectueuse si un désaccord se produit entre les 2 parties, car le traitement des données relatives aux employés d’une société de l’Union européenne par les États-Unis est d’ordre commercial.
Une collecte de données dangereuse
Du côté des entreprises diffusant les informations depuis l’Europe, il est primordial de s’assurer que l’entreprise demandant les informations en Amérique dispose d’une certification active (auto-certification renouvelable tous les ans) et que la certification recouvre les données demandées. Ainsi, les entreprises européennes se responsabilisent et veillent à ce que le transfert de données sensibles soit conforme au droit applicable en la matière. Cependant, du côté des Américains, le doute persiste, car la CNIL craint pour les motifs de récolte de données malgré les « efforts de transparence » des États-Unis en déclassifiant certaines décisions. Le débat est encore ouvert sur leur droit de regard sur les données des citoyens européens sous l’application du Privacy Shield. Ces actions de surveillance sont considérées par les US comme « ciblées dans la mesure du possible », mais aucune preuve formelle n’a été apportée. Les États-Unis introduisent alors comme garde-fou de leur cause de surveillance un « motif raisonnable de suspicion ».