La Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme d’adéquation « Safe Harbor », le 6 octobre 2015 (1).
Le Safe Harbor est issu de la décision d’adéquation de la Commission européenne du 26 juillet 2000 (2), pour permettre aux responsables de traitements de mettre en œuvre des flux transfrontières vers les Etats-Unis lorsque le destinataire, aux USA y adhère.
Cette décision n’est pas vraiment une surprise compte tenu :
- des prises de position, notamment de la Cnil et des autres autorités européennes au sein du groupe de l’article 29 (3), qui attiraient l’attention sur le caractère disproportionné d’une collecte massive et indifférenciée des données par les autorités américaines, en particulier après l’affaire Snowden ;
- les conclusions de l’avocat général (4) considérant que le niveau de protection assuré par les Etats-Unis, dans le cadre du régime de la « sphère de sécurité » (dit « Safe Harbor »), n’était plus adéquat.
Pour autant, elle inquiète et place les entreprises françaises qui ont mis en œuvre des flux vers les Etats-Unis sur ce fondement, dans une situation juridique complexe.
Bien sûr, la décision de la CJUE ne concerne en principe, que les flux mis en œuvre sur le fondement de la décision d’adéquation du 26 juillet 2000 (Safe Habor).
Cependant, les entreprises qui ont mis et qui souhaiteraient mettre en œuvre des flux transfrontières de données vers les Etats-Unis, se trouvent face à une difficulté juridique à ce jour difficilement surmontable.
La décision de la CJUE ne remet pas directement en cause la possibilité pour les responsables de traitement de mettre en œuvre des flux vers les Etats-Unis sur le fondement :
- de Binding corporates Rules (BCR),
- de clauses contractuelles types,
- ou encore, lorsque les flux s’y prêtent, sur le fondement d’une des exceptions à l’interdiction des flux transfrontières visées à l’article 69 de la loi Informatique et libertés.
Elle risque néanmoins d’avoir également des impacts sur ces outils pour les mêmes raisons que celles qui ont présidé à l’annulation de la décision du 26 juillet 2000.
En effet, la question du niveau de protection des données à caractère personnel transférées vers les Etats-Unis se pose de manière générale quel que soit l’outil juridique utilisé par le responsable du traitement.
Une autorité de protection du land allemand du Schleswig-Holstein s’est déjà prononcée en la matière en précisant que les flux vers les Etats-Unis ne pouvaient être mis en œuvre que sur un fondement légal. Cette position signifie que pour cette autorité, seule une modification légale aux USA pourrait permettre de mettre en œuvre des flux vers les Etats-Unis.
Les autorités européennes de protection des données membres du groupe de l’article 29 (ensemble des Cnil européennes), se sont réunies le 15 octobre et ont adopté une approche commune, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.
Dans ce cadre, le groupe de l’article 29 a notamment rappelé que la surveillance massive et indifférenciée instituée à la suite du 11 septembre ne pouvait pas être compatible avec le cadre juridique européen et que les outils de transferts ne pouvaient constituer une solution à ce problème.
Le Groupe de l’article 29 selon le communiqué diffusé sur le site de la Cnil, a demandé aux Etats membres et aux institutions européennes « d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux ».
Le groupe de l’article 29 a indiqué que la solution pourrait consister dans « un accord intergouvernemental offrant des garanties fortes aux citoyens européens ».
De ce point de vue, compte tenu de la négociation sur le nouvel accord Safe Habor, une issue de sortie pourrait ainsi être trouvée.
En tout état de cause, le groupe de l’article 29 a d’ores et déjà indiqué que la solution retenue devrait s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes.
Sur ce dernier point relatif aux mécanismes de recours et la protection des droits, un espoir existe puisque un projet de loi est en cours de discussion aux USA. Cette proposition autoriserait les citoyens européens à intenter des actions en justice contre les organes du gouvernement américain en cas de violation de leurs droits liés à la vie privée et à la protection des données.
Si les espoirs de solution à moyen terme existent pour sortir de l’insécurité juridique dans laquelle la décision de la CJUE a placé les entreprises transférant leurs données vers les USA, le groupe de l’article 29 a indiqué que dans l’attente de son analyse d’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types), ces outils pouvaient encore être utilisés par les entreprises (5).
Néanmoins, les autorités risquent, pendant cette période transitoire, de contrôler avec beaucoup plus d’attention les transferts de données vers les Etats-Unis qui leur seront soumis, sur la base des outils tels que les clauses contractuelles types. En tout état de cause, les transferts fondés sur le Safe harbor antérieurement à la décision d’invalidation devront être régularisés auprès de l’autorité compétente.
Les entreprises devront pour ce faire répertorier les traitements faisant intervenir des flux transfrontières pour, le cas échéant, les régulariser, tout en veillant à s’assurer de la mise à jour des mentions d’information des personnes concernées.
Céline Avignon
Lexing, Droit Informatique et libertés Contentieux
(1) Arrêt CJUE du 6-10-2015, Affaire C-362/14 Maximillian Schrems v Data Protection Commissioner.
(2) Décision de la Commission du 26 juillet 2000 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (dit Safe Harbor) et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, JOCE (L) 215/7 du 25-8-2000.
(3) Le groupe de travail « article 29 » (ou G29) sur la protection des données qui réunit les représentants des autorités européennes de protection des données.
(4) Conclusions de l’avocat général dans l’affaire C-362/14 Maximillian Schrems/Data Protection Commissioner, présentées le 23-9-2015.
(5) Statement of the Article 29 Working Party, Brussels, 16 October 2015.