Contenu principal :
• La collecte des données devra correspondre aux besoins précis des entreprises, et ne pas être détournées pour d’autres usages.
• Les Européens auront la possibilité de bloquer l’utilisation de leurs données pour des utilisations non prévues au départ (opt out).
• Pour les données sensibles (emploi, santé, etc.), un consentement préalable sera exigé.
• Un Européen aura le droit de consulter ses données personnelles détenues par une entreprise américaine, et si elles sont erronées, il pourra exiger qu’elles soient corrigées.
• Le stockage ne pourra pas excéder cinq ans – sauf exception, notamment pour les journalistes, les artistes, les chercheurs, les statisticiens…
• En ce qui concerne les décisions prises automatiquement par des ordinateurs (par exemple le rejet d’une demande de crédit, ou un profilage individuel), les Etats-Unis s’engagent simplement à évaluer l’impact de ces pratiques, à l’occasion des discussions annuelles prévues avec la Commission.
• Les services de renseignement américains continueront à intercepter et à exploiter les données personnelles venues d’Europe, notamment dans les affaires de « sécurité nationale » (contre-espionnage, terrorisme, armes de destruction massive…), « d’intérêt public » et de crime organisé
• Les Etats-Unis s’engagent à collaborer avec les agences de protection des données des pays membres de l’UE
• Si la Commission européenne s’aperçoit que les autorités américaines ne tiennent pas leurs promesses, elle se réserve le droit de prendre des mesures de rétorsion, y compris l’interruption des transferts et la dénonciation de l’accord.
Le texte se réfère à la directive européenne de 1995, et non pas au nouveau règlement sur la protection des données, plus contraignant, adopté en 2015 mais qui n’entrera en vigueur qu’en 2018
Par ailleurs, de nombreuses entreprises américaines n’ont plus vraiment besoin du Privacy Shield, car elles utilisent un autre mécanisme juridique : les « clauses contractuelles types », des accords privés bilatéraux passés entre une société européenne souhaitant exporter ses données outre-Atlantique et un prestataire américain qui va les traiter. Dans le cas des entreprises collectant directement les données auprès du public, comme Google ou Facebook, le contrat peut être passé entre leur filiale européenne et la maison mère américaine.
#privacy