Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 130

Le projet de décision d'adéquation
présentée par la Commission dans
le cadre du Privacy Shield tente de
répondre à ces griefs. Il procède à une
analyse du cadre légal américain
et prend note des engagements des
autorités américaines. Les détails de
cette analyse ainsi que les principes
du Privacy Shield font l'objet des 129
considérants du projet de décision.
Selon cette analyse, les réformes
adoptées et les garanties fournies
par les représentants américains
permettent d'encadrer et de limiter
de manière suffisante les possibilités
d'accès aux données transférées et de
garantir aux Européens le droit à un
recours effectif devant les juridictions
américaines.
En pratique, les autorités américaines
conserveront la possibilité d'accéder
aux données transférées et de
mettre en place des programmes de
surveillance de masse. Cependant,
ces
mesures
devraient
être
encadrées de manière plus stricte et
transparente. Les programmes de
surveillance de masse ne pourront
être mis en œuvre que dans des
hypothèses de menace à la sécurité
nationale limitativement énumérées
(contre-espionnage,
terrorisme,
arme de destruction massive, forces
armées ou personnels militaires,
menace criminelle internationale).

Un processus d'adoption
semé d'embûches
Le projet de décision d'adéquation ne
deviendra définitif qu'à l'issue d'une
procédure complexe. La Commission
doit dans un premier temps recueillir
l'avis du G29, le groupement des
représentants de l'ensemble des Cnil
européennes. Dans un communiqué
publié le 29 février dernier, le G29 a
indiqué qu'il analyserait de manière
minutieuse les termes de la décision
d'adéquation au regard de la décision
Schrems, de la jurisprudence de la
CJUE en matière de protection des
droits fondamentaux et de sa propre
doctrine.
Le G29 devrait faire connaître
son avis définitif à l'issue de
sa prochaine réunion plénière
prévue au mois d'avril. Son avis
n'est pas contraignant. Toutefois,

130

un avis négatif constituerait un
obstacle de taille à l'application du
Privacy Shield. En effet, la CJUE
a réaffirmé que les Cnil n'étaient
pas liées par les décisions de la
Commission : lorsqu'elles sont saisies
d'une plainte, elles ont l'obligation
d'examiner les conditions d'un
transfert de données. Ainsi, si les
Cnil européennes font savoir qu'elles
ne considèrent pas cet accord comme
suffisant, le Privacy Shield risque
d'être mort-né. Il est également
possible que les Cnil européennes
ne s'accordent pas sur une position
commune. Les avis du G29 sont
adoptés à la majorité des suffrages
exprimés et les opinions divergentes
sont publiées : dans ce cas, une
période d'insécurité juridique risque
de s'ouvrir.
Le projet de décision d'adéquation
accompagné de l'avis du G29 devra
ensuite être soumis au vote du
Comité des représentants des Etats
membres institué en vertu de l'article
31 de la directive. Cette décision est
en revanche contraignante. En cas
de vote négatif de la majorité des
membres du Comité, la Commission
serait tenue de revoir sa copie. Le
Parlement et le Conseil européen
devront en parallèle vérifier que
les termes du projet de décision
de la Commission n'excèdent pas
ses compétences. La décision
d'adéquation ne deviendra définitive
qu'à l'issue de son adoption par
le Collège de la Commission
européenne.
L'adoption du Privacy Shield est
donc loin d'être acquise. Même si
l'ensemble des instances devant
être consultées donnaient un avis
favorable, le texte ne devrait pas être
adopté avant l'été.

Que faire en attendant ?
Tant que le sort du Privacy Shield
est incertain, le G29 a réaffirmé le 3
février que les transferts de données
vers les Etats-Unis pouvaient
être encadrés par les clauses
contractuelles types et les BCR.
Le G29 a cependant rappelé qu'il
entendait également se prononcer
sur la validité de ces mécanismes.
Dans ce même communiqué, le G29
a indiqué avoir procédé à l'analyse

EXPERTISES AVRIL 2016

du cadre juridique et des pratiques
des agences de renseignements
américaines comme annoncé à
la suite de la décision Schrems.
Bien que le G29 reconnaisse que
des efforts ont été accomplis pour
renforcer la protection des données
transférées, le cadre juridique
ne lui paraissait pas encore
adéquat. Le G29 ne rendra son
analyse définitive non seulement
sur la décision d'adéquation mais
également sur les mécanismes
alternatifs qu'à l'issue d'un examen
attentif du Privacy Shield. A ce jour,
il est impossible d'affirmer qu'un
mécanisme permettra d'assurer
de manière durable l'encadrement
des transferts de données vers les
Etats-Unis.

LE PRIVACY SHIELD :
VÉRITABLE NOUVEAUTÉ
OU « PTACH » DU
SAFE HARBOUR ?
Le maintien d'un mécanisme
d'auto-certification
A l'instar du Safe Harbour, le Privacy
Shield repose sur un mécanisme
d'auto-certification. Les entreprises
américaines devront s'engager à
respecter les 7 grands principes
suivants :
■ le « Notice Principle » : les entreprises
devront fournir des informations
complètes
et
transparentes
aux
personnes sur les données collectées,
les traitements et éventuels retraitements
opérés ;
■ le « Choice Principle » : les personnes
devront pouvoir s'opposer à ce que leurs
données soient transmises à un tiers
ou fasse l'objet de traitement ultérieur
(par un mécanisme d'opt out) et devront
donner leur consentement exprès pour
que leurs données sensibles soient
traitées (par le biais d'un opt-in) ;
■ le « Security Principle » : prévoit
l'obligation de mettre en place des mesures
de sécurité des données auxquelles les
entreprises devront se conformer ;
■ le « Data Integrity and Purpose
Limitation Principle » aux termes duquel
les données personnelles collectées
devront être limitées aux seules
informations strictement nécessaires au



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412

Couverture
Sommaire
MAGAZINE - LOGICIELS PUBLICS : ACCÈS AUX CODES SOURCES SOUS CONTRÔLE Par Sylvie ROZENFELD
INTERVIEW - DOMINIC JENSEN L’E-TRANSFORMATION DE L’ACCÈS AU DROIT Par Sylvie ROZENFELD
DOCTRINE
VIE PRIVÉE PRIVACY SHIELD : UNE AVANCÉE ET UN TEST POUR L’UNITÉ DE L’EUROPE Par Benjamin MAY
MÉDIATION DE NOUVELLES OBLIGATIONS POUR LES CYBERMARCHANDS Par Laure BAËTÉ et Sadry PORLON
CONTENTIEUX INFORMATIQUE DE LA SAISIE À LA PERQUISITION CIVILE Par Maroussia NETTER-ADLER
DONNÉES PERSONNELLES UN TRAITEMENT D’UNE SEULE DONNÉE ? Par Jérôme DEBRAS
RÉSEAUX SOCIAUX FACEBOOK ET L’ORIGINE DU MONDE Par Damien CHALLAMEL
DONNÉES PERSONNELLES RECHERCHES ET ÉVALUATION EN SANTÉ Par Thomas ROCHE
JURISPRUDENCE
IBM FRANCE / CSC COMPUTER SCIENCES Cour d’appel de Versailles, 14e chambre, arrêt contradictoire du 19 novembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - MAGAZINE - LOGICIELS PUBLICS : ACCÈS AUX CODES SOURCES SOUS CONTRÔLE Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 120
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 121
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 122
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 123
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - INTERVIEW - DOMINIC JENSEN L’E-TRANSFORMATION DE L’ACCÈS AU DROIT Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - VIE PRIVÉE PRIVACY SHIELD : UNE AVANCÉE ET UN TEST POUR L’UNITÉ DE L’EUROPE Par Benjamin MAY
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 131
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - MÉDIATION DE NOUVELLES OBLIGATIONS POUR LES CYBERMARCHANDS Par Laure BAËTÉ et Sadry PORLON
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - CONTENTIEUX INFORMATIQUE DE LA SAISIE À LA PERQUISITION CIVILE Par Maroussia NETTER-ADLER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 137
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - DONNÉES PERSONNELLES UN TRAITEMENT D’UNE SEULE DONNÉE ? Par Jérôme DEBRAS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - RÉSEAUX SOCIAUX FACEBOOK ET L’ORIGINE DU MONDE Par Damien CHALLAMEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - DONNÉES PERSONNELLES RECHERCHES ET ÉVALUATION EN SANTÉ Par Thomas ROCHE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - IBM FRANCE / CSC COMPUTER SCIENCES Cour d’appel de Versailles, 14e chambre, arrêt contradictoire du 19 novembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 150
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 153
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2016 - n°412 - 156
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com