Le 29 février 2016, la Commission Européenne a donné davantage de détails quant au contenu du paquet "Bouclier de protection des données UE-États-Unis", qui avait été annonce le 2 février 2016.
Antérieurement, nous vous informions déjà quant au futur "Bouclier de confidentialité UE-USA" destiné à combler la lacune laissée par l'annulation du "Safe Harbour Framework" (sphère de sécurité) par l'arrêt "Schrems" de la Cour de justice du 6 octobre 2015.
Le GT art. 29 (le groupe de travail "article 29") a, entre temps, publié, le 3 février 2016, une déclaration dans laquelle il mentionne d'ores et déjà les quatre garanties auxquelles devra, à son estime, être soumis toute activité de surveillance:
- Le traitement doit être fondé sur des règles claires, précises et accessibles, ce qui signifie que toute personne raisonnablement bien informée, doit être en mesure d'évaluer comment ses données seront traitées après que celles-ci aient été transférées hors de l'Espace économique européen.
- La nécessité et la proportionnalité par rapport aux objectifs légitimes doivent être démontrées: un équilibre doit être trouvé entre l'objectif poursuivi à travers la collecte des données et pour lequel l'accès aux données est sollicité (en général la sécurité nationale) d'une part, et les droits de l'individu d'autre part.
- Un mécanisme de contrôle indépendant doit exister, qui soit à la fois efficace et impartiale. Il peut s'agir soit d'un juge soit de tout autre organe indépendant, pour autant qu'il ait un pouvoir suffisant pour effectuer les contrôles nécessaires.
- Des recours effectifs doivent être ouverts au particulier: chaque individu doit disposer du droit de faire valoir ses droits devant un organe indépendant.
Le 29 février 2016, la Commission européenne a publié le contenu du nouveau paquet "Bouclier de protection des données UE-États-Unis" dans un document de plus de 120 pages.
La documentation qui a été publié par la Commission Européenne est composée:
- d'un projet de décision d'adéquation de la Commission Européenne reconnaissant le principe selon lequel les États-Unis fournissent un niveau de protection adéquat au sens de l'article 25(2) de la Directive 95/46/CE pour le transfert de données personnelles à des entreprises aux États-Unis qui auront été auto-certifiées sous le Bouclier de confidentialité UE-USA. Toutes les entreprises auto-certifiés seront rassemblées dans une ainsi dénommée "Liste de Bouclier de protection des données";
- d'un document contenant les principes du Bouclier de protection des données EU-États Unis (annexe II); et
- de différentes déclarations et promesses faites par des responsables américains (annexes I et III-VII).
Le texte du Bouclier de protection des données UE-États-Unis n'est pas encore officiellement adopté et sera revu dans les mois à venir par les États membres et par divers organismes, y compris le GT art. 29 qui examinera le Bouclier au regard des quatre garanties qu'il a énoncées.
Il est prévu que la procédure intégrale soit achevée vers la fin de juin 2016.