18 CJUE, affaire C-362/14 du 6 octobre 2015, Maximillian Schrems c/ Data https://iapp org/resources/article/eu-u-s-privacy-shield-full-text/ problématiques se posent avec l'ordre exécutif américain n° 12333 qui a également pour Texte soumis en application de l'article 88-4 de la constitution par le Gouvernement à
Previous PDF | Next PDF |
[PDF] TEXTE SOUMIS EN APPLICATION DE LARTICLE 88-4 DE LA
12333/15 le 12 octobre 2015 le 12 octobre 2015 TEXTE SOUMIS EN APPLICATION DE L'ARTICLE 88-4 DE LA CONSTITUTION PAR LE GOUVERNEMENT, particulière dérogatoire à l'article 287 de la directive 2006/ 112/CE relative au
[PDF] MERCREDI 14 OCTOBRE 2015/N° 473 - Assemblée nationale
Questions au Gouvernement sur des sujets européens 2 Suite de l'article 120 du règlement, que toutes les missions seront examinées selon Lundi 19 octobre 2015, à 21 heures : Aide publique au développement ; Examen de textes soumis à l'Assemblée nationale en application de l'article 88-4 de la Constitution
[PDF] Compte rendu - Assemblée nationale
européennes, sur le Conseil européen des 15 et 16 octobre 2015, conjointe avec la commission des Affaires étrangères La présidente Danielle Auroi Merci
[PDF] LE PRIVACY SHIELD - IREDIC
18 CJUE, affaire C-362/14 du 6 octobre 2015, Maximillian Schrems c/ Data https://iapp org/resources/article/eu-u-s-privacy-shield-full-text/ problématiques se posent avec l'ordre exécutif américain n° 12333 qui a également pour Texte soumis en application de l'article 88-4 de la constitution par le Gouvernement à
[PDF] 4176 final DÉCISION DEXÉCUTION DE LA - Europa EU
Conformément à l'article 25, paragraphe 1, de la directive 95/46/CE, les États Dans son arrêt du 6 octobre 2015 dans l'affaire C-362/14, Maximillian de mise en conformité et de contrôle intragroupe, par exemple), le texte indique aussi préciser qu'elles sont soumises aux pouvoirs d'enquête et d'application de la
[PDF] Privacy Shield - Briefing European Parliamentary Research Service
13 avr 2020 · en application du paragraphe 4 [niveau inadéquat]», et article 25, paragraphe Le 6 octobre 2015, la Cour de justice de l'Union européenne (CJUE) a invalidé la décision face à ce pouvoir étendu de surveillance du gouvernement sans « Safe Harbour»; 2) le tiers était soumis à la DPD ou à une autre
[PDF] Léchec du système de poids et contrepoids sous - Archipel UQAM
6 jui 2013 · Executive Order 12333 2015 2340-1 châtiment psychique ou Authorization for use of military bicamérale a l'unique pouvoir fmancier selon la Constitution, Article l'autorisation de modifier le texte constitutionnel par de nouveaux ce même rapport déclassifié, la première directive date du 4 octobre
[PDF] RAA du 16 décembre 2015 n° A 55 - haute-viennegouvfr
16 déc 2015 · caisse désignée en application de l'article L 174-2 du code de la sécurité sociale du 1er octobre 2015 au 31 octobre 2015, signé le 28 septembre 2015 par M Franck d'une installation soumise à autorisation sur la commune de BERNEUIL, signé le 8 aux ministres et aux membres du gouvernement,
[PDF] Observation de la CNIL - Next INpact
9 oct 2020 · 1 Article L 1461-1 du CSP: Notamment, Tensemble des données i En vertu de la jurisprudence de la CJUE (CJUE, 6 octobre 2015, C-362/14, dit Schrens /), il appartenait constitution du HDH, destinée à rendre possible un changement 1 'Executive Order 12333, n'assure pas un niveau de protection
[PDF] Ministère de l Éducation RÉVISÉ. Le curriculum de l Ontario de la 1 re à la 8 e année. Mathématiques
[PDF] Évaluation : rapport annuel
[PDF] Sur Google, vous avez une barre de menu, vous cliquez sur plus, ensuite sur encore plus et vous avez tout un panel de logiciels que Google met à
[PDF] Portrait statistique de la population de représentant en épargne collective au Québec
[PDF] Centre de ressources GUSP bilan provisoire 2015 et premières pistes de travail 2016. Comité de pilotage 28 janvier 2016
[PDF] Plan Stratégique de 2010-2012 du RCDR Réalisations par rapport aux objectifs
[PDF] Espace personnel Actif / Retraité SUPPORT DE FORMATION
[PDF] M. Jean-Yves Le Drian, Ministre de la défense. Discours pour la signature de l accord-cadre Défense / Sport
[PDF] Inscription au Portail des SVP Voyageur et organisateur de voyages
[PDF] Le Saint-Siège. Salle Paul VI Vendredi 27 septembre 2013. Vidéo
[PDF] SOUS RÉSERVE DE MODIFICATIONS
[PDF] Conseil d administration 309 e session, Genève, novembre 2010 GB.309/18/2 POUR DISCUSSION ET ORIENTATION. Rapport du Directeur général
[PDF] Guide d utilisation - Bilan de l emploi dans la Fonction Publique
[PDF] RAPPORT ANNUEL 2009-2010 DU CONSEIL D ÉTABLISSEMENT
Licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas de
Modification 4.0 International.
AIX-MARSEILLE UNIVERSITÉ
FACULTÉ DE DROIT ET DE SCIENCE POLITIQUE
INSTITUT DE RECHERCHE ET D'ÉTUDES EN DROIT DE L'INFORMATION ET DELA COMMUNICATION
" Droit des médias électroniques »LE PRIVACY SHIELD :
CADRE JURIDIQUE EFFICACE
OUACCORD POLITICO-ÉCONOMIQUE ?
Présenté par M. Sylvain Longhais
Réalisé sous la direction de M. Jean Frayssinet, -MarseilleAnnée universitaire 2018-2019
AIX-MARSEILLE UNIVERSITÉ
FACULTÉ DE DROIT ET DE SCIENCE POLITIQUE
INSTITUT DE RECHERCHE ET D'ÉTUDES EN DROIT DE L'INFORMATION ET DELA COMMUNICATION
" Droit des médias électroniques »LE PRIVACY SHIELD :
CADRE JURIDIQUE EFFICACE
OUACCORD POLITICO-ÉCONOMIQUE ?
Présenté par M. Sylvain Longhais
Réalisé sous la direction de M. Jean Frayssinet, -MarseilleAnnée universitaire 2018-2019
Licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas deModification 4.0 International.
1REMERCIEMENTS
Je tiens à remercier M. lorienter mes
conseils. sa bienveillance. Je remercie toutes les personnes qui se reconnaîtront de leur soutien. 2LISTE DES ABRÉVIATIONS
AEDH Association européenne pour la défenseArt. Article
BCR Binding Corporate Rules
CalOPPA California Online Privacy Protection ActCalECPA California Electronic Communication
Privacy Act
CAN-SPAM Act Controlling the Assault of Non-SolicitedPornography And Marketing
CCPA Electronic Communication Privacy Act
CEPD Comité Européen à la Protection desCJCE Cour de Justice des communautés
européennesCJUE Cour de Justice d
CLOUD Act Claryfying Lawful Overseas Use of Data ActCNIL Commission N
et des LibertésComm. Commentaire
COPPA C
CSRE/FISAC Cour de Surveillance du RenseignementÉtranger/Foreign Intelligence Surveillance
Act Court
DPA/APD Data Protection Authority/Autorité deProtection des Données
DPC Data Protection Commission
DoC Department of Commerce
EPRS European Parliament Research
Service/Service de recherche du
Parlement européen
Et seq. Et sequentes paginate
3FAI nternet
FBI Federal Bureau of Investigation
FCC Federal Communication Commission
FTC Federal Trade Commission
FTC Act Federal Trade Commission Act
FISA Foreign Intelligence Surveillance Act
G29GAFA Google, Apple, Facebook, Amazon
(désigne les grandes entreprises du numérique)HIPAA Health Insurance Portability and
Accountability Act
Ibid. Ibidem
ICO La REM La revue européenne des médias et du numériqueNATU Netflix, AirBnB, Tesla, Uber
(autre désignation pour les grandes entreprises du numérique)NSA National Security Agency
OAEP Office of Aviation Enforcement and
Proceedings
QSP Questions Souvent Posées
PCLOB Privacy and Civil Liberties Oversight BoardPDG Président-Directeur Général
PIB Produit Intérieeur Brut
PII Personal identifiable information
PME Petites et Moyennes Entreprises
PNR Passenger Name Record
PPD Presidential Policy Directive
PRISM Planning Tool for Resource Integration,Synchronization, and Management
4 RGPD Règlement Général sur la Protection desDonnées
SCA (Act) Stored Communication Act
TAFTA Transatlantic Free Trade Agreement
TTIP Transatlantic Trade and Investment
Partnership
UE Union Européenne
USA FREEDOM Act Uniting and Strengthening America byFulfilling Rights Ensuring Effective
Discipline Over Monitoring Act
USA PATRIOT Act Uniting And Strengthening America byProviding Appropriate Tools Required to
Intercept and Obstruct Terrorism Act
USC U.S Code
5SOMMAIRE
INTRODUCTION
PARTIE 1 : Le Privacy Shield, un cadre juridique imposé par nécessitéCHAPITRE 1 : Après le Safe harbor, le Privacy
Schrems
CHAPITRE 2 : Le Privacy Shield : un accord qui reste fragile PARTIE 2 : Le Privacy Shield, un cadre dissimulant une approche politico économique CHAPITRE 1 : Un cadre juridique pour permettre la libre circulation des données personnellesCHAPITRE 2
protection des données aux États-Unis.CONCLUSION
6INTRODUCTION
Réguler ce qui ne peut être appréhendé in, sembleêtre le défi majeur du XXIe siècle. Dans ce contexte de dématérialisation constante et de
de toutes natures, les données personnelles illustrent parfaitement les problématiques auxquelles le Droit doit répondre. Eneffet, ces données sont par nature nombreuses, volatiles, ubiquitaires ce qui rend leur régulation
hermétiques et un contrôle total par le Droit. orsque des données sonttraitées, elles sont stockées, transférées, dupliquées, transférées à nouveau et ce en moins de
ne nous en a fallu pour écrire cette phrase. Et on parle ici de données générées entre
rre.1 Le nombre de traitements et de transferts a notamment explosé, suite à technologies comme le Big Data ou le Cloud Computing. Entre 2011 et 2013 avec la démocratisation de ces techniques informatiques, IBM estime que 90 % des données mondiales ont été créées.2 Sil existe en Europe une législation efficace en matière de droit des données personnelles pour mmunautaire, forcément de même pour lespays tiers. La définition de transfert de données personnelles qui sera retenue dans les
développements ultérieurs est celle issue de la conception européenne toutecommunication, copie ou déplacement de données personnelles ayant vocation à être traitées
3 Ces transferts sont nécessaires mais peuvent être
dangereux si les données personnelles sont traitées dans des États où la protection des données
Pour cette raison, le règlement général sur la protection des données impose un certain nombre de règles pour que ces transferts aient lieu. Si certains pays sont autorisés par la Commission à échanger des données entre leur territo1 KEMP (S.), " Digital 2019: Global Internet Use Accelerates », wearesocial.com, publié le 30 janvier 2019,
schémas nnexe 2.2 JACOBSON (R.), " 2.5 quintillion bytes of data created every day. How does CPG and Retail manage it? »,
www.ibm.com, publié le 24 avril 2013. every-day-how-does-cpg-retail-manage-it/3 Définition du transfert de données, www.cnil.fr.
7 règles européennes,4 - En effet, laCommission ne considère
personnelles dans leur pays. Par conséquent, il ne peut pas y avoir de décision autorisant tous
les transferts de données vers les États-Unis. Dès les prémices du droit des données personneÉtats-a Commission. En effet, les
philosophies juridiques sont trop éloignées. Par exemple, en Europe, la donnéepersonnelle est toute information qui se rapporte à une personne physique identifiée ou
identifiable et cette définition est globa-Unis, il existe une multitude de définitions, toutes taillées pour une situation bien précise.du numérique ainsi que le nombre grandissant de données personnelles échangées ont amené
les deux puissances à trouver un consensus. Dès les années 2000, un premier accord a été
trouvé. Ce dernier permettait aux organisations américaines de transférer des données depuis
-Unis si elles acceptaient de se certifier au titre du Safe Harbor, un incipes relatifs à la protection très critiqué a perdur -Unis ce qu pourquoi en 2016, le successeur du Safe Harbor, le Privacy Shield est entré en vigueur sur le même mode de fonctionnement. et plus précisément son rôle dans le cadre des flux transfrontaliers de données entre les États- européenne. Dans le cheminement de ce mémoire, is les applications pratiques du Privacy Shield entre les acteurs concernés, afin de favoriser une approche plustransversale du sujet. En effet, le Privacy Shield cristallise un rapport de force très intense sur
la question de la protection des données personnelles . Certes, il constitue un cadre juridique pour les transferts de données vers les États-Unis enprévoyant un certain nombre de principes que les organisations certifiées doivent respecter pour
que de tels transferts soient légaux. es de la doctrine se sont attelées à le décortiquer et à en faire la critique juridique. Mais, cet accord4 Art. 45 du règlement général sur la protection des données, anciennement art. 25 de la directive 95/46/EC.
8 négociations et il a par conséquent une empreinte politique très marquée.schématiquement de concilier la libre circulation des données à des fins économiques voulue
par les Américains et la protection des données des citoyens européens. En ce sens, le Privacy
t accepter de mettre le droit au service du politique afin de trouver des intérêts convergents. aussi critiquable soit-il, existe bel etbien, et que le bouclier de protection est le seul cadre juridique, commun et centralisé permettant
es États-Unis. Le Privacy Shield constitue-t-il alors un cadre juridique efficace de la protection desdonnées personnelles en matière de transferts ou un simple outil politique et économique dans
lequel chacun y négocie ses intérêts propresௗ? Force est de constater que sur le fond et la forme, le Privacy Shield a toutes les . Cependant, du fait du contexte, et deeuropéennes et américaines, et de ces nombreuses imperfections il doit être considéré comme
un cadre juridique imposé par nécessité (Partie I). Mais cette qualification ne doit pas pour
autant occulter le rapport de force omniprésent à la base de ce cadre qui dissimule de fait une
approche politico-économique (Partie 2), où les intérêts de chaque partie sont représentés.
9 PARTIE I : Le Privacy Shield, un cadre juridique imposé par nécessité. Il est certain que le contexte entourant le Privacy Shield fait de lui un accord imposé par dation brutale du Safe Harbor qui a précipité l Schrems afin de comprendre le contenu du nouvel accord. Ainsi, en très peu de temps, après leSafe H 1).
démontrer pourquoiles négociateurs européens et américains reconstruire un accord respectant les prérequis fixés
par la CJUE. Cependant, le Privacy Shield est un accord encore fragile (Chapitre 2). 10 CHAPITRE I : Après le Safe harbor, le Privacy Shield rêt Schrems Il est impératif de contextualiser ce nouveau cadre juridique. Ainsi, il faut noter que1). À la suite de cette décision, il a
fallu appliquer un pansement juridique visant une meilleure conformité (section 2) sous le nom de Privacy Shield.Section 1 ௗ;
Il est important de scinder ௗArrêt Schremsௗ». En effet le Safe Harbor, prédécesseur du Privacy Shield souffra son adéquation avec la législation européenne. Après son invalidation par la CJUE, le besoin de reconstruire un accord très rapidement (II).I) Le contexte délicat du Safe harbor
Le conte
nécessaire, - Schrems (B) questionnant son utilité. qui signe l, est un véritable coup de tonnerre (C).A) Un accord nécessaire, mais laxiste
Le "ௗSafe Harbourௗ» ou "ௗSphère de sécuritéௗ urs américains et la Commission européenne5 mission décidant de relative à la protection des données personnelles.6politique. La négociation de cet accord a débuté à la fin des années 90 quand la
directive 95/46/CE relative à la protection des données personnelles, qui instituait pour lapremière fois au niveau communautaire, des règles contraignantes en la matière, a été adoptée.
5 FRAYSSINET (J), " Le transfert et la protection des données personnelles en provenance de l'Union
européenne vers les États-Unis : l'accord dit "sphère de sécurité" (ou safe harbour) », Communication Commerce
électronique n°3, Mars 2001, chron.7 p. 3.
6 Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du
Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la " sphère
de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-
Unis d'Amérique, p. 7.
11Cette dernière contenait notamment des règles relatives au transfert des données personnelles
possibles condition que le pays tiers assure un niveau de protection adéquat, et de poursuivre en donnant un large éven7 Cependant, elle comportait également un certain nombre de dérogations. Ces dérogations pardéfinition permettaient à des responsables de traitements de procéder à des transferts interdits
25 de la directive par exemple : "ௗlorsque le responsable du traitement offre des
garanties suffisantes au regard de la protection de la vie privée et des libertés et droits
fondamentaux des personnes, ainsi quà légard de lexercice des droits correspondantsௗ; cesgaranties peuvent notamment résulter de clauses contractuelles appropriées.ௗ»8 A contrario, cela
signifiait que hors du champ déroga 26 de la directive, les transferts nepouvaient pas avoir lieu. Mais les flux de données étaient de plus en plus importants, notamment
entre les États- relation économique privilégiée. Il fallait donc application de la directive de25 de la directive, les États-un degré de protection
suffisant. Les tsolution pérenne qui ne discréditerait pas pour autant la règlementation européenne. En
parallèle, en 1995, la commission fédérale du commerce (Federal Trade Commission ou FTC) ௗOnline Privacyௗ» et dans un rapport paru en 1998,elle pointe du doigt le fait que la majeure partie des opérateurs de sites en ligne collectent des
données personnelles, mais que peu en informent les consommateurs et encore moins dressent de véritables politiques de confidentialité.9 La même année, le "ௗProtection Actௗ» (COPPA) qui interdit aux opérateurs de sites internet ou de services en ligne,
mineurs demoins de 13 ans, les pratiques déloyales et trompeuses sur lesdits traitements,10 est adopté aux
États-Unis.
7 Art. 25 de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données.