Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Invalidation du Safe Harbor – les transferts de données vers les Etats-Unis sont-ils encore possibles ?

Invalidation du Safe Harbor – les transferts de données vers les Etats-Unis sont-ils encore possibles ?

Dans son arrêt du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a conclu à l’invalidité de la décision 2000/520 du 26 juillet 2000 de la Commission européenne relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité », dite décision « Safe Harbor » (CJUE, 6 octobre 2015, C-361/14). Cette décision, qui fait l’effet d’un coup de tonnerre, remet en cause les modalités actuelles de transfert des données vers les Etats-Unis.

A l’origine de cette affaire, un utilisateur de Facebook avait saisi le Commissaire irlandais à la protection des données (équivalent de la CNIL), en contestant les modalités de conservation par Facebook Ireland des données de ses abonnés irlandais sur des serveurs situés aux Etats-Unis. Le Commissaire avait refusé de diligenter une enquête, s’estimant lié par la décision de la Commission du 26 juillet 2000, qui jugeait adéquat le niveau de protection accordé par les Etats-Unis aux données personnelles stockées sur son territoire. Saisie d’un recours, la Haute cour de justice irlandaise a posé à la CJUE la question de savoir si une autorité nationale de protection des données était liée par une décision de l’Union constatant l’existence d’une protection adéquate, ou si elle pouvait ou devait, malgré l’existence d’une telle décision, diligenter sa propre enquête.

Sur le premier point, la Cour répond clairement qu’une décision de la Commission européenne ne peut réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle. Celles-ci peuvent donc diligenter des contrôles en toute indépendance.

Mais la CJUE est allée plus loin, en examinant la décision de la Commission du 26 juillet 2000, considérant que la question préjudicielle qui lui était posée mettait en cause directement sa validité. Elle a ainsi conclu à son invalidation.

Cet arrêt est lourd conséquences. La question de la mise en conformité des transferts opérés sur la base du « Safe Harbor » se pose dès à présent, puisqu’ils sont désormais (et même de manière rétroactive) illégaux. Les solutions qui s’offrent aux entreprises françaises désireuses de transférer des données à destination des Etats-Unis sont peu nombreuses.

Les clauses-types : en premier lieu, les transferts peuvent, pour l’instant, être réalisés sur la base des clauses-types publiées par la Commission européenne. Le mécanisme est cependant plus contraignant, lesdits transferts devant être expressément autorisés par la CNIL. En outre, les autorités de protection des données européennes s’interrogent aujourd’hui sur la validité des transferts réalisés sur la base desdites clauses-types ; il ne peut donc être affirmé avec certitude qu’un basculement des traitements vers les clauses-types de la Commission européenne constituera une solution pérenne ;

Les exceptions au principe de prohibition des transferts : pour mémoire, l’article 68 de la loi Informatique et Libertés prohibe les transferts de données vers des Etats n’assurant pas un niveau adéquat de protection. Cependant, l’article 69 prévoit un certain nombre d’exceptions dans le cadre desquelles un tel transfert pourra être réalisé librement. Le transfert pourra ainsi intervenir si la personne concernée y a consenti expressément ou si le transfert est nécessaire :

  • à la sauvegarde de la vie de cette personne ;
  • à la sauvegarde de l’intérêt public ;
  • au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
  • à la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
  • à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
  • à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Ces exceptions sont à ce jour interprétées de manière restrictive par la CNIL, laquelle considère notamment que l’exception de consentement ne peut être invoquée s’agissant des transferts de données de salariés, ceux-ci n’étant pas considérés, du fait de leur lien de subordination avec le responsable de traitement, comme en mesure de fournir un consentement pleinement libre et éclairé. De surcroit, la CNIL considère que ces exceptions ne sauraient fonder un transfert massif et structurel de données.

Les Règles contraignantes d’entreprise (BCR) : les règles contraignantes d’entreprise constituent un code de conduite définissant la politique d’une entreprise en matière de transferts de données. Elles sont considérées comme offrant une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe. Néanmoins, le processus d’adoption de ces règles est relativement long puisqu’elles doivent être soumises aux autorités de protection des données personnelles concernées et obtenir leur validation. En outre, elles n’ont vocation à régir que des transferts intervenant au sein d’un groupe de sociétés et ne peuvent s’appliquer dans le cadre de relations entre sociétés tierces. Elles ne sauraient donc couvrir l’ensemble des besoins des entités françaises désireuses de transférer des données à destination des Etats-Unis.

Dans son communiqué du 16 octobre 2015, le G29 a demandé aux Etats membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux. D’ici là, on ne peut que déplorer l’insécurité juridique extrême à laquelle les entreprises se trouvent confrontées.

 

Auteur

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

 

Invalidation du Safe Harbor – les transferts de données vers les Etats-Unis sont-ils encore possibles ?