[PDF] [PDF] LE PRIVACY SHIELD - IREDIC

[PDF] TEXTE SOUMIS EN APPLICATION DE LARTICLE 88-4 DE LA

12333/15 le 12 octobre 2015 le 12 octobre 2015 TEXTE SOUMIS EN APPLICATION DE L'ARTICLE 88-4 DE LA CONSTITUTION PAR LE GOUVERNEMENT, particulière dérogatoire à l'article 287 de la directive 2006/ 112/CE relative au

[PDF] MERCREDI 14 OCTOBRE 2015/N° 473 - Assemblée nationale

Questions au Gouvernement sur des sujets européens 2 Suite de l'article 120 du règlement, que toutes les missions seront examinées selon Lundi 19 octobre 2015, à 21 heures : Aide publique au développement ; Examen de textes soumis à l'Assemblée nationale en application de l'article 88-4 de la Constitution

[PDF] Compte rendu - Assemblée nationale

européennes, sur le Conseil européen des 15 et 16 octobre 2015, conjointe avec la commission des Affaires étrangères La présidente Danielle Auroi Merci 

[PDF] LE PRIVACY SHIELD - IREDIC

18 CJUE, affaire C-362/14 du 6 octobre 2015, Maximillian Schrems c/ Data https://iapp org/resources/article/eu-u-s-privacy-shield-full-text/ problématiques se posent avec l'ordre exécutif américain n° 12333 qui a également pour Texte soumis en application de l'article 88-4 de la constitution par le Gouvernement à

[PDF] 4176 final DÉCISION DEXÉCUTION DE LA - Europa EU

Conformément à l'article 25, paragraphe 1, de la directive 95/46/CE, les États Dans son arrêt du 6 octobre 2015 dans l'affaire C-362/14, Maximillian de mise en conformité et de contrôle intragroupe, par exemple), le texte indique aussi préciser qu'elles sont soumises aux pouvoirs d'enquête et d'application de la

[PDF] Privacy Shield - Briefing European Parliamentary Research Service

13 avr 2020 · en application du paragraphe 4 [niveau inadéquat]», et article 25, paragraphe Le 6 octobre 2015, la Cour de justice de l'Union européenne (CJUE) a invalidé la décision face à ce pouvoir étendu de surveillance du gouvernement sans « Safe Harbour»; 2) le tiers était soumis à la DPD ou à une autre 

[PDF] Léchec du système de poids et contrepoids sous - Archipel UQAM

6 jui 2013 · Executive Order 12333 2015 2340-1 châtiment psychique ou Authorization for use of military bicamérale a l'unique pouvoir fmancier selon la Constitution, Article l'autorisation de modifier le texte constitutionnel par de nouveaux ce même rapport déclassifié, la première directive date du 4 octobre

[PDF] RAA du 16 décembre 2015 n° A 55 - haute-viennegouvfr

16 déc 2015 · caisse désignée en application de l'article L 174-2 du code de la sécurité sociale du 1er octobre 2015 au 31 octobre 2015, signé le 28 septembre 2015 par M Franck d'une installation soumise à autorisation sur la commune de BERNEUIL, signé le 8 aux ministres et aux membres du gouvernement,

[PDF] Observation de la CNIL - Next INpact

9 oct 2020 · 1 Article L 1461-1 du CSP: Notamment, Tensemble des données i En vertu de la jurisprudence de la CJUE (CJUE, 6 octobre 2015, C-362/14, dit Schrens /), il appartenait constitution du HDH, destinée à rendre possible un changement 1 'Executive Order 12333, n'assure pas un niveau de protection 

[PDF] RAPPORT ANNUEL 2010-2011 DU CONSEIL D ÉTABLISSEMENT

[PDF] Ministère de l Éducation RÉVISÉ. Le curriculum de l Ontario de la 1 re à la 8 e année. Mathématiques

[PDF] Évaluation : rapport annuel

[PDF] Sur Google, vous avez une barre de menu, vous cliquez sur plus, ensuite sur encore plus et vous avez tout un panel de logiciels que Google met à

[PDF] Portrait statistique de la population de représentant en épargne collective au Québec

[PDF] Centre de ressources GUSP bilan provisoire 2015 et premières pistes de travail 2016. Comité de pilotage 28 janvier 2016

[PDF] Plan Stratégique de 2010-2012 du RCDR Réalisations par rapport aux objectifs

[PDF] Espace personnel Actif / Retraité SUPPORT DE FORMATION

[PDF] M. Jean-Yves Le Drian, Ministre de la défense. Discours pour la signature de l accord-cadre Défense / Sport

[PDF] Inscription au Portail des SVP Voyageur et organisateur de voyages

[PDF] Le Saint-Siège. Salle Paul VI Vendredi 27 septembre 2013. Vidéo

[PDF] SOUS RÉSERVE DE MODIFICATIONS

[PDF] Conseil d administration 309 e session, Genève, novembre 2010 GB.309/18/2 POUR DISCUSSION ET ORIENTATION. Rapport du Directeur général

[PDF] Guide d utilisation - Bilan de l emploi dans la Fonction Publique

[PDF] RAPPORT ANNUEL 2009-2010 DU CONSEIL D ÉTABLISSEMENT

Licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas de

Modification 4.0 International.

AIX-MARSEILLE UNIVERSITÉ

FACULTÉ DE DROIT ET DE SCIENCE POLITIQUE

INSTITUT DE RECHERCHE ET D'ÉTUDES EN DROIT DE L'INFORMATION ET DE

LA COMMUNICATION

" Droit des médias électroniques »

LE PRIVACY SHIELD :

CADRE JURIDIQUE EFFICACE

OU

ACCORD POLITICO-ÉCONOMIQUE ?

Présenté par M. Sylvain Longhais

Réalisé sous la direction de M. Jean Frayssinet, -Marseille

Année universitaire 2018-2019

AIX-MARSEILLE UNIVERSITÉ

FACULTÉ DE DROIT ET DE SCIENCE POLITIQUE

INSTITUT DE RECHERCHE ET D'ÉTUDES EN DROIT DE L'INFORMATION ET DE

LA COMMUNICATION

" Droit des médias électroniques »

LE PRIVACY SHIELD :

CADRE JURIDIQUE EFFICACE

OU

ACCORD POLITICO-ÉCONOMIQUE ?

Présenté par M. Sylvain Longhais

Réalisé sous la direction de M. Jean Frayssinet, -Marseille

Année universitaire 2018-2019

Licence Creative Commons Attribution - Pas d'Utilisation Commerciale - Pas de

Modification 4.0 International.

1

REMERCIEMENTS

Je tiens à remercier M. lorienter mes

conseils. sa bienveillance. Je remercie toutes les personnes qui se reconnaîtront de leur soutien. 2

LISTE DES ABRÉVIATIONS

AEDH Association européenne pour la défense

Art. Article

BCR Binding Corporate Rules

CalOPPA California Online Privacy Protection Act

CalECPA California Electronic Communication

Privacy Act

CAN-SPAM Act Controlling the Assault of Non-Solicited

Pornography And Marketing

CCPA Electronic Communication Privacy Act

CEPD Comité Européen à la Protection des

CJCE Cour de Justice des communautés

européennes

CJUE Cour de Justice d

CLOUD Act Claryfying Lawful Overseas Use of Data Act

CNIL Commission N

et des Libertés

Comm. Commentaire

COPPA C

CSRE/FISAC Cour de Surveillance du Renseignement

Étranger/Foreign Intelligence Surveillance

Act Court

DPA/APD Data Protection Authority/Autorité de

Protection des Données

DPC Data Protection Commission

DoC Department of Commerce

EPRS European Parliament Research

Service/Service de recherche du

Parlement européen

Et seq. Et sequentes paginate

3

FAI nternet

FBI Federal Bureau of Investigation

FCC Federal Communication Commission

FTC Federal Trade Commission

FTC Act Federal Trade Commission Act

FISA Foreign Intelligence Surveillance Act

G29

GAFA Google, Apple, Facebook, Amazon

(désigne les grandes entreprises du numérique)

HIPAA Health Insurance Portability and

Accountability Act

Ibid. Ibidem

ICO La REM La revue européenne des médias et du numérique

NATU Netflix, AirBnB, Tesla, Uber

(autre désignation pour les grandes entreprises du numérique)

NSA National Security Agency

OAEP Office of Aviation Enforcement and

Proceedings

QSP Questions Souvent Posées

PCLOB Privacy and Civil Liberties Oversight Board

PDG Président-Directeur Général

PIB Produit Intérieeur Brut

PII Personal identifiable information

PME Petites et Moyennes Entreprises

PNR Passenger Name Record

PPD Presidential Policy Directive

PRISM Planning Tool for Resource Integration,

Synchronization, and Management

4 RGPD Règlement Général sur la Protection des

Données

SCA (Act) Stored Communication Act

TAFTA Transatlantic Free Trade Agreement

TTIP Transatlantic Trade and Investment

Partnership

UE Union Européenne

USA FREEDOM Act Uniting and Strengthening America by

Fulfilling Rights Ensuring Effective

Discipline Over Monitoring Act

USA PATRIOT Act Uniting And Strengthening America by

Providing Appropriate Tools Required to

Intercept and Obstruct Terrorism Act

USC U.S Code

5

SOMMAIRE

INTRODUCTION

PARTIE 1 : Le Privacy Shield, un cadre juridique imposé par nécessité

CHAPITRE 1 : Après le Safe harbor, le Privacy

Schrems

CHAPITRE 2 : Le Privacy Shield : un accord qui reste fragile PARTIE 2 : Le Privacy Shield, un cadre dissimulant une approche politico économique CHAPITRE 1 : Un cadre juridique pour permettre la libre circulation des données personnelles

CHAPITRE 2

protection des données aux États-Unis.

CONCLUSION

6

INTRODUCTION

Réguler ce qui ne peut être appréhendé in, semble

être le défi majeur du XXIe siècle. Dans ce contexte de dématérialisation constante et de

de toutes natures, les données personnelles illustrent parfaitement les problématiques auxquelles le Droit doit répondre. En

effet, ces données sont par nature nombreuses, volatiles, ubiquitaires ce qui rend leur régulation

hermétiques et un contrôle total par le Droit. orsque des données sont

traitées, elles sont stockées, transférées, dupliquées, transférées à nouveau et ce en moins de

ne nous en a fallu pour écrire cette phrase. Et on parle ici de données générées entre

rre.1 Le nombre de traitements et de transferts a notamment explosé, suite à technologies comme le Big Data ou le Cloud Computing. Entre 2011 et 2013 avec la démocratisation de ces techniques informatiques, IBM estime que 90 % des données mondiales ont été créées.2 Sil existe en Europe une législation efficace en matière de droit des données personnelles pour mmunautaire, forcément de même pour les

pays tiers. La définition de transfert de données personnelles qui sera retenue dans les

développements ultérieurs est celle issue de la conception européenne toute

communication, copie ou déplacement de données personnelles ayant vocation à être traitées

3 Ces transferts sont nécessaires mais peuvent être

dangereux si les données personnelles sont traitées dans des États où la protection des données

Pour cette raison, le règlement général sur la protection des données impose un certain nombre de règles pour que ces transferts aient lieu. Si certains pays sont autorisés par la Commission à échanger des données entre leur territo

1 KEMP (S.), " Digital 2019: Global Internet Use Accelerates », wearesocial.com, publié le 30 janvier 2019,

schémas nnexe 2.

2 JACOBSON (R.), " 2.5 quintillion bytes of data created every day. How does CPG and Retail manage it? »,

www.ibm.com, publié le 24 avril 2013. every-day-how-does-cpg-retail-manage-it/

3 Définition du transfert de données, www.cnil.fr.

7 règles européennes,4 - En effet, la

Commission ne considère

personnelles dans leur pays. Par conséquent, il ne peut pas y avoir de décision autorisant tous

les transferts de données vers les États-Unis. Dès les prémices du droit des données personne

États-a Commission. En effet, les

philosophies juridiques sont trop éloignées. Par exemple, en Europe, la donnée

personnelle est toute information qui se rapporte à une personne physique identifiée ou

identifiable et cette définition est globa-Unis, il existe une multitude de définitions, toutes taillées pour une situation bien précise.

du numérique ainsi que le nombre grandissant de données personnelles échangées ont amené

les deux puissances à trouver un consensus. Dès les années 2000, un premier accord a été

trouvé. Ce dernier permettait aux organisations américaines de transférer des données depuis

-Unis si elles acceptaient de se certifier au titre du Safe Harbor, un incipes relatifs à la protection très critiqué a perdur -Unis ce qu pourquoi en 2016, le successeur du Safe Harbor, le Privacy Shield est entré en vigueur sur le même mode de fonctionnement. et plus précisément son rôle dans le cadre des flux transfrontaliers de données entre les États- européenne. Dans le cheminement de ce mémoire, is les applications pratiques du Privacy Shield entre les acteurs concernés, afin de favoriser une approche plus

transversale du sujet. En effet, le Privacy Shield cristallise un rapport de force très intense sur

la question de la protection des données personnelles . Certes, il constitue un cadre juridique pour les transferts de données vers les États-Unis en

prévoyant un certain nombre de principes que les organisations certifiées doivent respecter pour

que de tels transferts soient légaux. es de la doctrine se sont attelées à le décortiquer et à en faire la critique juridique. Mais, cet accord

4 Art. 45 du règlement général sur la protection des données, anciennement art. 25 de la directive 95/46/EC.

8 négociations et il a par conséquent une empreinte politique très marquée.

schématiquement de concilier la libre circulation des données à des fins économiques voulue

par les Américains et la protection des données des citoyens européens. En ce sens, le Privacy

t accepter de mettre le droit au service du politique afin de trouver des intérêts convergents. aussi critiquable soit-il, existe bel et

bien, et que le bouclier de protection est le seul cadre juridique, commun et centralisé permettant

es États-Unis. Le Privacy Shield constitue-t-il alors un cadre juridique efficace de la protection des

données personnelles en matière de transferts ou un simple outil politique et économique dans

lequel chacun y négocie ses intérêts propresௗ? Force est de constater que sur le fond et la forme, le Privacy Shield a toutes les . Cependant, du fait du contexte, et de

européennes et américaines, et de ces nombreuses imperfections il doit être considéré comme

un cadre juridique imposé par nécessité (Partie I). Mais cette qualification ne doit pas pour

autant occulter le rapport de force omniprésent à la base de ce cadre qui dissimule de fait une

approche politico-économique (Partie 2), où les intérêts de chaque partie sont représentés.

9 PARTIE I : Le Privacy Shield, un cadre juridique imposé par nécessité. Il est certain que le contexte entourant le Privacy Shield fait de lui un accord imposé par dation brutale du Safe Harbor qui a précipité l Schrems afin de comprendre le contenu du nouvel accord. Ainsi, en très peu de temps, après le

Safe H 1).

démontrer pourquoi

les négociateurs européens et américains reconstruire un accord respectant les prérequis fixés

par la CJUE. Cependant, le Privacy Shield est un accord encore fragile (Chapitre 2). 10 CHAPITRE I : Après le Safe harbor, le Privacy Shield rêt Schrems Il est impératif de contextualiser ce nouveau cadre juridique. Ainsi, il faut noter que

1). À la suite de cette décision, il a

fallu appliquer un pansement juridique visant une meilleure conformité (section 2) sous le nom de Privacy Shield.

Section 1 ௗ;

Il est important de scinder ௗArrêt Schremsௗ». En effet le Safe Harbor, prédécesseur du Privacy Shield souffra son adéquation avec la législation européenne. Après son invalidation par la CJUE, le besoin de reconstruire un accord très rapidement (II).

I) Le contexte délicat du Safe harbor

Le conte

nécessaire, - Schrems (B) questionnant son utilité. qui signe l, est un véritable coup de tonnerre (C).

A) Un accord nécessaire, mais laxiste

Le "ௗSafe Harbourௗ» ou "ௗSphère de sécuritéௗ urs américains et la Commission européenne5 mission décidant de relative à la protection des données personnelles.6

politique. La négociation de cet accord a débuté à la fin des années 90 quand la

directive 95/46/CE relative à la protection des données personnelles, qui instituait pour la

première fois au niveau communautaire, des règles contraignantes en la matière, a été adoptée.

5 FRAYSSINET (J), " Le transfert et la protection des données personnelles en provenance de l'Union

européenne vers les États-Unis : l'accord dit "sphère de sécurité" (ou safe harbour) », Communication Commerce

électronique n°3, Mars 2001, chron.7 p. 3.

6 Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du

Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la " sphère

de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-

Unis d'Amérique, p. 7.

11

Cette dernière contenait notamment des règles relatives au transfert des données personnelles

possibles condition que le pays tiers assure un niveau de protection adéquat, et de poursuivre en donnant un large éven7 Cependant, elle comportait également un certain nombre de dérogations. Ces dérogations par

définition permettaient à des responsables de traitements de procéder à des transferts interdits

25 de la directive par exemple : "ௗlorsque le responsable du traitement offre des

garanties suffisantes au regard de la protection de la vie privée et des libertés et droits

fondamentaux des personnes, ainsi quà légard de lexercice des droits correspondantsௗ; ces

garanties peuvent notamment résulter de clauses contractuelles appropriées.ௗ»8 A contrario, cela

signifiait que hors du champ déroga 26 de la directive, les transferts ne

pouvaient pas avoir lieu. Mais les flux de données étaient de plus en plus importants, notamment

entre les États- relation économique privilégiée. Il fallait donc application de la directive de

25 de la directive, les États-un degré de protection

suffisant. Les t

solution pérenne qui ne discréditerait pas pour autant la règlementation européenne. En

parallèle, en 1995, la commission fédérale du commerce (Federal Trade Commission ou FTC) ௗOnline Privacyௗ» et dans un rapport paru en 1998,

elle pointe du doigt le fait que la majeure partie des opérateurs de sites en ligne collectent des

données personnelles, mais que peu en informent les consommateurs et encore moins dressent de véritables politiques de confidentialité.9 La même année, le "ௗ

Protection Actௗ» (COPPA) qui interdit aux opérateurs de sites internet ou de services en ligne,

mineurs de

moins de 13 ans, les pratiques déloyales et trompeuses sur lesdits traitements,10 est adopté aux

États-Unis.

7 Art. 25 de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la

protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre

circulation de ces données.

8 Ibid. Art. 26.

9 BLANKE M (J), " Safe Harbor and the European Union's Directive on Data Protection », Albany Law Journal

quotesdbs_dbs8.pdfusesText_14