La Cour de justice européenne a invalidé, par décision du 6 octobre 2015, le mécanisme d’adéquation « Safe Harbor ».
Dans l’affaire Maximilian Schrems v Data Protection Commissioner (C-362/14) (1), la Cour de justice de l’Union européenne (CJUE) a estimé que ce mécanisme de protection des données à caractère personnel (dit « Safe Harbor »), auquel les entreprises américaines peuvent adhérer afin de recevoir des données à caractère personnel de pays appartenant à l’Union européenne, ne permettait pas de garantir, de manière effective, un niveau de protection adéquat des données à caractère personnel.
Selon la CJUE, les recours possibles pour les citoyens européens dont les données sont transférées aux Etats-Unis et qui souhaitent exercer leurs droits sont notamment trop faibles.
De plus, les autorités publiques américaines peuvent accéder massivement et de façon indifférenciée aux données des citoyens européens, sans pour autant assurer une protection juridique efficace.
Sur un plan plus procédural, la décision de la CJUE indique également que les autorités nationales de protection des données, par exemple la Cnil, peuvent analyser en toute indépendance les conditions d’un transfert de données vers un pays situé en dehors de l’Union européenne et examiner si ce transfert respecte les dispositions de la directive (2), même si une décision de la Commission européenne reconnait déjà le caractère adéquat de la protection dans ce pays.
Suite à l’invalidation de l’accord Safe Harbor, il n’est plus possible de réaliser un transfert de données à destination des Etats-Unis par le biais de l’adhésion au Safe Harbor.
Toutefois, les transferts de données à destination des Etats-Unis pourront toujours être réalisés, par exemple s’ils sont encadrés par :
- des clauses contractuelles types ; ou
- des BCR ou règles d’entreprise.
Les autorités nationales réunies au sein du G29 le 15 octobre 2015 ont demandé aux institutions européennes ainsi qu’aux gouvernements concernés de trouver des solutions juridiques et techniques d’ici 3 mois, soit jusqu’au 31 janvier 2016 (3). Les autorités nationales se sont également engagées à lancer une campagne d’information auprès des entreprises concernées et sur leurs sites respectifs.
La Commission européenne a quant à elle réitéré sa volonté de travailler en coopération avec les autorités américaines pour établir un Safe Harbor 2.0. Ce projet, déjà en discussion depuis deux ans, prendra certainement en considération les éléments soulevés dans la décision de la CJUE.
Chloé Torres
Lexing, Droit Informatique et libertés
(1) CJUE 6-10-2015 Aff. C-362/14 Maximillian Schrems c/ Data Protection Commissioner.
(2) Directive 95/46/CE du 24-10-1995.
(3) CJUE, Communiqué du 6-10-2015.