Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a déclaré invalide la décision de la Commission européenne portant sur le Safe Harbour US adoptée en 2000. Aux termes de cet accord, il était jusqu’à présent considéré que les données personnelles transférées de l’Union Européenne vers les Etats Unis bénéficiaient d’un niveau suffisant de protection.
Voici les principaux points de cet arrèt que nous estimons ètre particulièrement intéressants pour votre entreprise.
1. Quels sont les points majeurs de cet arrèt ?
(i) L’ affaire portée devant la plus haute juridiction irlandaise (Irish High Court) par un citoyen autrichien, M. Schrems, concerne le transfert de données personnelles vers les Etats-Unis par une filiale irlandaise de Facebook.
(ii) L’arrèt de la CJUE, saisie dans le cadre d’une question préjudicielle, suit les conclusions de l’avocat général M. Yves Bots rendues le 23 septembre 2015 arguant que le Safe Harbour US devait ètre annulé.
(iii) Malgré de nombreuses critiques de la part des Etats-Unis, la Cour de justice considère que la Commission européenne ne s’est pas assurée que les Etats-Unis garantissaient effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, comme elle était tenue de le faire.
(iv) Selon la Cour de justice, la Commission européenne ne peut priver les autorités nationales du pouvoir de contrôler les transferts des données personnelles dont elles disposent en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive sur la protection des données personnelles.
(v) La Cour de Justice relève que la Commission européenne s’est limitée à examiner le régime de la sphère de sécurité du Safe Harbour. L’arrèt insiste sur le fait que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mèmes soumises. En outre, le régime du Safe Harbour admet que les exigences relatives à la sécurité nationale, à l’intérèt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité et puissent entrainer des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes.
(vi) Enfin, nous remarquons que l’arrèt de la Cour de justice ne fait mention d’aucune période de grâce qui permettrait aux entreprises américaines de mettre en place de nouvelles pratiques avant que le Safe Harbour ne soit plus valide.
2. Quelles sont les principales conséquences de cet arrèt ?
- Conformément à la jurisprudence européenne, la décision d’invalidité du Safe Harbour doit ètre considérée comme immédiate, avec effet rétroactif, sur les transferts de données déjà opérés depuis l’entrée en vigueur du Safe Harbour en 2000. En conséquence, les entreprises ne peuvent plus se fonder sur le Safe Harbour pour poursuivre leurs transferts de données vers les Etats-Unis.
- Il sera demandé à la Commission européenne de prendre toutes les mesures nécessaires pour se mettre en conformité avec l’arrèt de la CJUE. L’accord-cadre sur l’échange des données personnelles entre l’Union européenne et les Etats-Unis aux fins de prévention, de détection des infractions pénales, d’enquètes et de poursuites pénales, notamment pour lutter contre le terrorisme est en cours de finalisation après l’achèvement, début septembre 2015, de la phase de négociation entre la Commission européenne et l’administration américaine. La Commission pourrait renégocier un nouveau « Safe Harbour » avec les Etats-Unis et l’inclure dans cet accord-cadre. Le nouveau « Safe Harbour », s’il est renégocié, devra prendre en considération l’arrèt de la Cour de justice et ses conséquences.
- Dans cette optique, l’arrèt de la Cour de Justice rappelle l’obligation d’interpréter la directive de 1995 à la lumière de la Charte des droits fondamentaux de l’Union européenne. Cette obligation vaudra également pour le nouveau règlement européen sur la protection des données personnelles en cours de finalisation qui devra entrer en vigueur dans les prochains mois en remplacement de la directive de 1995. Cela limitera les possibilités pour le Parlement et le Conseil d’atténuer les principes et les conséquences de l’arrèt de la Cour de justice du 6 octobre 2015. Et cela pour longtemps.
- En ce qui concerne l’affaire en cause, il reviendra à l’autorité de protection des données irlandaise d’examiner si le transfert des données des abonnés européens de Facebook vers les Etats-Unis doit ètre suspendu en raison du fait que le pays ne peut assurer un niveau adéquat de protection des données personnelles. Il doit ètre rappelé que la Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l’affaire conformément à l’arrèt de la Cour. Cet arrèt lie, de la mème manière, les autres juridictions nationales qui seraient saisies d’un problème similaire.
3. Quelles sont nos recommandations ?
- Se fonder sur les alternatives disponibles offertes par la directive sur la protection des données personnelles afin de poursuivre le transfert de données vers les Etats-Unis, comme « règles d’entreprise contraignantes » ou les modèles de clauses de la Commission européenne pour les contrats de transfert de données.
- En tant que responsable du traitement ou sous-traitant, conduire un audit de votre portefeuille de contrats de transfert de données et de vos procédures de traitement de données mises en œuvre dans ce domaine, afin d’identifier où et comment les flux de données s’organisent. Mettre à jour vos contrats concernés, à la lumière de l’arrèt du 6 octobre 2015, afin de s’assurer de leur conformité avec le droit de l’Union européenne des données personnelles.
- Contacter les autorités de protection des données locales afin d’obtenir leur position et de mettre en œuvre leur recommandations pays par pays. La Commission européenne a annoncé qu’elle allait contacter les autorités nationales de supervision au sein de l’Union européenne afin de mettre en œuvre une action coordonnée à l’aune de l’arrèt de la Cour de Justice et de leur fournir des lignes directrices. Elle s’est également engagée à offrir de l’aide et de l’assistance aux entreprises qui recherchent des réponses sur la manière de faciliter les transferts de données à la lumière de l’arrèt. Ces informations et les personnes à contacter seront publiées sur le site de la Commission prochainement.
- Rester concentrés sur les résultats des possibles renégociations du Safe Harbour et le cas échéant, conduire toute action pertinente afin de contribuer à l’orientation des résultats de ces négociations.
Liens :
N’hésitez pas à contacter notre équipe pour toute question éventuelle.
