L'accord sur la sphère de sécurité visait à permettre aux entreprises américaines de recueillir des informations personnelles les concernant. Données des citoyens de l'UE. L'accord devrait maintenir le niveau traditionnel de protection des données pour les citoyens de l'UE, qui n'est pas garanti dans la même mesure aux États-Unis. Depuis septembre 2015, l'accord a été considéré comme nul par l'Union européenne, mettant fin à plus de 15 ans de pratique dans le domaine du droit de la protection des données.
Safe Harbor : un refuge sûr ?
En septembre 2015, l'accord sur la sphère de sécurité a subi un grave revers. L'avocat général de la Cour de justice des Communautés européennes - Yves Bot - est arrivé à la conclusion, dans son opinion, que la décision relative à la sphère de sécurité n'est ni valable ni contraignante. L'accord sur la sphère de sécurité date de l'an 2000 et fait partie du domaine de la législation sur la protection des données. La décision de la Commission européenne devrait permettre aux entreprises de transférer des données personnelles aux États-Unis, à condition qu'elles respectent les directives européennes en matière de protection des données. Il n'y a pas d'"accord" au sens propre du terme - cependant, ce type de procédure a été convenu avec les États-Unis, de sorte que l'on peut parler d'une sorte d'"accord". Le 06.10.2015, l'accord sur la sphère de sécurité a été déclaré invalide par la Cour de justice européenne (CJE).
L'histoire de l'accord sur la sphère de sécurité
Au sein de l'Union européenne, la directive 95/46/CE sur la protection des données interdit le transfert de données personnelles des États membres vers d'autres États qui n'ont pas de lois sur la protection des données ayant une fonction de protection similaire. Les États-Unis n'ont guère de réglementations légales dans le domaine de la protection des données qui soient à la hauteur des normes de l'Union européenne. Les réglementations strictes de l'UE ont entraîné des problèmes pratiques, raison pour laquelle les États-Unis et l'UE ont conclu un accord en 2000. L'adhésion à la directive sur la protection des données entraînerait un blocage du trafic de données, raison pour laquelle le règlement sur la sphère de sécurité a été adopté. Les entreprises des États-Unis pouvaient s'inscrire sur une liste du ministère américain du commerce et ainsi rejoindre la sphère de sécurité. En adhérant, les entreprises américaines ont accepté de se conformer aux principes et aux règles de l'accord. Les réglementations légales ont été pratiquement complétées par des réglementations privées au niveau international. La Commission européenne a estimé qu'il était prouvé que les entreprises du nouveau système offrent une protection suffisante aux citoyens de l'UE et à leurs données personnelles. Au moment de sa révocation en septembre 2015, de nombreuses entreprises avaient rejoint l'accord. Parmi eux se trouvaient General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox et Hewlett-Packard.
Critique populaire de l'accord sur la sphère de sécurité
L'accord sur la sphère de sécurité a été critiqué à plusieurs reprises. Les voix négatives ont refusé à l'accord une fonction de protection suffisante. On ne peut pas se fier à la "parole" des entreprises américaines, c'est pourquoi il faudrait en apporter la preuve. Après quelques années, le Patriot Act américain a été créé : En raison de la nouvelle situation juridique, les autorités de sécurité américaines ont pu accéder à toutes les données sans devoir en informer le propriétaire. Suite aux révélations du dénonciateur Edward Snowden, une révision du système a été demandée en 2013. En 2013, la commissaire européenne à la justice, Viviane Reding, a annoncé une réforme de la protection des données européennes. Toutes les entreprises devraient être sanctionnées par une amende pouvant aller jusqu'à deux pour cent de leur chiffre d'affaires annuel, si elles ont effectué un transfert de données illégal.
L'arrêt de la Cour européenne de justice en septembre 2015
En septembre 2015, l'avocat général de la Cour de justice européenne - Yves Bot - a déclaré que l'accord sur la sphère de sécurité n'était plus valable et contraignant. La Haute Cour d'Irlande avait demandé à la Cour européenne de justice si et dans quelle mesure le régime de la sphère de sécurité s'appliquait. L'affaire en question concernait le transfert de données par Facebook vers les États-Unis. Dans les motifs de l'arrêt, l'avocat général a déclaré que l'Union européenne n'était pas autorisée à interférer avec et à restreindre les compétences des États membres. Dès que le respect des droits fondamentaux accordés par la Charte de l'UE est mis en danger dans un État membre, il devrait être possible d'agir en conséquence. Parmi les droits fondamentaux figure la protection des données personnelles. Aux États-Unis, les citoyens de l'UE sont exposés à des collecteurs de données sans protection, car les États-Unis autorisent dans une large mesure la collecte de données sur les citoyens de l'UE. En même temps, il n'existe pas de moyens efficaces de recours judiciaire. Les services secrets américains pratiquent une surveillance intensive, qui n'est pas proportionnée et qui permet des interférences ciblées avec la protection des données. La Cour de justice européenne a suivi les remarques de l'avocat général et a ainsi scellé la fin de l'accord. Dans la teneur de l'arrêt, il est fait référence aux services secrets américains. Les entreprises américaines y sont soumises lorsqu'elles font des enquêtes et sont donc obligées d'annuler toutes les réglementations de protection. Il n'y a donc pas de protection efficace des données à caractère personnel. D'une part, le droit fondamental au respect de la vie privée a été violé par cette action, mais d'autre part, le droit à l'existence d'une protection juridique efficace devant un tribunal a également été violé.
L'approche des autorités allemandes de protection des données
Après la publication de l'arrêt de la Cour européenne de justice, les autorités allemandes chargées de la protection des données ont agi rapidement. Dans un document de position rédigé par les responsables de la protection des données des Länder et du gouvernement fédéral, il a été précisé que les transferts de données sont exclus si leur transfert repose uniquement sur l'accord de la sphère de sécurité. Les nouveaux permis basés sur l'accord ne seront plus délivrés. En outre, les réglementations des entreprises et les accords d'exportation de données ne seront plus reconnus. Au Royaume-Uni, on considère que le transfert de données est toujours possible si le consentement a été donné ou si des clauses contractuelles types de l'UE sont en place. Le consentement n'est pas suffisant, selon les commissaires allemands à la protection des données, car les transferts de données en masse et répétés ne pourraient plus être autorisés à une telle échelle.
Nouveaux règlements et recommandations
Au niveau fédéral, la décision de la Cour européenne de justice a été saluée par le commissaire fédéral à la protection des données compétent. Dans un avenir proche, il sera examiné si et dans quelle mesure l'arrêt a un effet en Allemagne sur les règles d'entreprise contraignantes et les clauses contractuelles types de l'UE. Le 26.10.2015, le gouvernement fédéral et les Länder ont publié la prise de position. Les autorités de contrôle ont annoncé que des mesures seraient prises contre tout transfert de données basé sur la sphère de sécurité. Depuis le verdict, il est tout à fait clair que la certification au titre de l'ancien accord est absolument inadmissible. Les entreprises qui transfèrent des données personnelles aux États-Unis risquent des amendes douloureuses. C'est pourquoi les textes des sites web, le matériel publicitaire et les déclarations de protection des données doivent être adaptés le plus rapidement possible. En outre, les transferts de données actuels doivent être vérifiés. L'applicabilité des règles d'entreprise contraignantes et des clauses contractuelles types de l'UE doit être expliquée. Quiconque ne peut se passer du transfert de données vers les États-Unis devrait utiliser les clauses contractuelles types de l'UE, qui permettent de réduire considérablement le risque d'amende, du moins dans la majorité des cas. Il est absolument nécessaire que les méthodes de cryptage soient vérifiées et appliquées. Si le consentement peut être obtenu, il convient de prendre contact avec la DSK et de demander si cette légitimation est autorisée pour les transferts de données. Si le consentement peut être obtenu, il doit être clairement indiqué qu'un transfert de données vers les États-Unis a lieu. En outre, les conséquences possibles doivent être énumérées. Ce consentement peut difficilement être mis en œuvre dans le cas de transferts de données permanents et de masse, par exemple de données sur les clients. Afin d'obtenir la meilleure protection juridique possible, les questions juridiques doivent être examinées au cas par cas. Des mesures techniques et organisationnelles peuvent réduire considérablement le risque de violations de la loi.