Accord Politique entre la Commission et USA
Le 2 février 2016, la Commission européenne a annoncé avoir trouvé un accord politique avec les États-Unis sur la protection des données à caractère personnel. Selon le communiqué, le nouvel accord intitulé « EU-US Privacy Shield » respecte le niveau de protection exigé par la CJUE en imposant notamment des obligations renforcées aux entreprises américaines souhaitant utiliser des données à caractère personnel provenant de l’Union Européenne. Les États-Unis s’engage également à ce que l’accès des autorités publiques aux données transférées soit limité et encadré.
La position des institutions européennes de la décision d’adéquation sur le projet Privacy Shield
Le 29 février 2016, la Commission européenne a publié son projet de décision d’adéquation sur le « Privacy Shield » et ses annexes.
Le 13 avril 2016, le G 29 a quant à lui publié son avis concernant le « Privacy Shield ». Il a souligné les améliorations significatives apportées par le « Privacy Shield » par rapport à la décision Safe Harbor de 2001. Néanmoins, il a relevé que d’importantes préoccupations demeurent concernant le volet commercial du « Privacy Shield » et l’accès par les autorités publiques aux données transférées dans le cadre de l’accord « Privay Shield ».
Le 8 juillet 2016, la version finale du « Privacy Shield » a été approuvée par la plupart des États membres de l’Union européenne, à l’exception de l’Autriche, la Croatie, la Slovénie et la Bulgarie, ouvrant la voie à l’adoption par la Commission européenne.
La décision de la Commission européenne
Le 12 juillet 2016, la Commission a adopté la décision, en précisant que « les garanties pour le transfert des données sur la base de la nouvelle protection des données UE-États-Unis protègent selon les normes de protection des données dans l’Union européenne ».
Le futur du « Privacy Shield »
Le 25 octobre 2016, plusieurs associations françaises dont la Quadrature du net ont déposé un recours devant le Tribunal de l’Union européenne pour annuler cet accord. Elles considèrent qu’il permet des collectes massives et systématiques de données à caractère personnel par les autorités américaines au-delà du strict nécessaire, et qu’il ne sera pas possible pour un citoyen européen d’accéder à un recours juridictionnel effectif.