transfert

Safe Harbor- Transfert de données hors UE

Par la décision du 6 octobre 2015, la Cour de Justice de l’Union Européenne a invalidé l’accord Safe Harbor qui encadrait le transfert des données personnelles de l’Europe vers les Etats-Unis. Pourquoi l’accord a-t-il été invalidé, quelles sont les conséquences et qui est concerné ?

  • Qu’est-ce que le Safe Harbor ?

Il s’agit d’un ensemble de principes de protection des données personnelles négociés entre les autorités américaines et la Commission européenne en 2001, auxquels des entreprises établies aux Etats-Unis adhèrent volontairement afin de pouvoir recevoir des données à caractère personnel en provenance de l’Union européenne.

Le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles.

  • Pourquoi le Safe Harbor a été invalidé ?

Très controversé, cet accord a notamment été mis à mal par les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA. Ces révélations ont montré que les données personnelles des Européens n’étaient en fait pas protégées lorsqu’elles étaient stockées aux Etats-Unis.

Dans sa décision du 06 Octobre 2015 (affaire C-362/14), la CJUE estime que le Safe Harbor n’est pas conforme au droit européen, pour plusieurs raisons détaillées sur une trentaine de pages. La Cour a notamment considère que :

  • les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées et que les programmes de surveillance de masse des Etats-Unis sont incompatibles avec une protection adéquate des droits des citoyens européens ;
  • la Commission Européenne n’a pas examiné correctement l’ensemble du problème en validant le Safe Harbor. Elle a définit le terme « adéquat » paragraphe 73 et 96 de la décision d’invalidation, à savoir « l’exigence qu’un pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive 95/46, lue à la lumière de la Charte. »
  • les entreprises américaines sont en effet tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter « sans limitation » l’application des clauses du « Safe Harbor » qui leur seraient contraires ;

 

  • Quelles sont les entreprises concernées ?

Sont concernées toutes les sociétés françaises ou européennes qui transfèrent des données à caractère personnel vers les Etats-Unis, dont par exemple des informations relatives aux ressources humaines, sous-traitance d’un Call Center, hébergement de données etc.

  • Quelles conséquences ?

L’invalidation de la décision de la Commission européenne qui reconnaissait l’adéquation du Safe Harbor pose la question du niveau de protection des données personnelles transférées aux Etats-Unis.

Les autorités nationales de protection des données (telles que la CNIL) doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive.

En conséquence, il n’est désormais plus possible de réaliser un transfert de données personnelles entre les pays membres de l’UE et les Etats-Unis sur la base du Safe Harbor et la décision est rétroactive.

Des plaintes concernant les données transférées vers les USA sont susceptibles être reçues prochainement par la CNIL tant que les négociations n’aboutiront pas à un résultat concret. Un modèle de lettre circule déjà sur internet pour que les personnes puissent faire valoir leurs droits et inquiétudes auprès de la CNIL. Les responsables de traitements doivent d’ores et déjà, entamer des démarches pour anticiper les éventuelles plaintes.

  • Dans quels cas les transferts sont encore autorisés ?

Les transferts en dehors de l’Union européenne sont toutefois possibles :

  • si le transfert a été autorisé par la CNIL ;
  • si le pays ou l’entreprise destinataire assure un niveau de protection suffisant aux données transférées (voir la liste des pays);
  • de manière contractuelle, par la signature de Clauses Contractuelles Types adoptées par la Commission européenne entre l’entité exportatrice et l’entité importatrice de données personnelles ;
  • par l’adoption de Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers les Etats Unis.

A défaut, le transfert est interdit !

La CNIL et ses homologues européens (G29) se sont réunis le 15 octobre pour analyser les conséquences de la décision de la CJUE. Elles ont adopté une approche commune sur la question, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.

MàJ 20.11.2015

La CNIL a mis a disposition un FAQ Safe Harbor sur son site internet afin de guider les organismes sur les actions à mettre en place et sur les étapes suivantes.

Mots cls:  

Comments are closed.