L’arrêt de la CJUE du 6 octobre 2015 remet en cause le transfert de données à caractère personnel vers un pays tiers. Découvrez les conséquences pour les entreprises.

Transfert de données à caractère personnel vers un pays tiers

Le transfert de données à caractère personnel en dehors de l’espace économique européen est en principe interdit. Il est autorisé si, en vertu du droit national applicable en matière de protection des données, l’adéquation de la protection des données sur le territoire du destinataire a été établie. Les données à caractère personnel peuvent donc circuler librement vers un pays tiers offrant un niveau de protection adéquat.

En 2000, la Commission a, à la suite de négociations avec le Département du Commerce américain, considéré que les entreprises américaines qui souscrivent aux principes de la « sphère de sécurité » devaient être considérées comme offrant un niveau de protection adéquat. Le mécanisme d’adéquation prévu par le « Safe Harbor » permettait donc aux entreprises adhérentes se trouvant sur le territoire américain de recevoir des données à caractère personnel provenant d’un pays de l’Union. Au fil des années, l’accord « Safe Harbor » a toutefois été vivement critiqué : le Parlement européen s’est d’ailleurs exprimé à plusieurs reprises de façon négative sur la validité de cet accord et en a même demandé la suspension le  12 mars 2014.

Depuis le 6 octobre 2015, date à laquelle s’est prononcée la Cour de justice de l’Union européenne (ci-après la « CJUE ») dans l’affaire Max Schrems, les entreprises européennes ne peuvent plus envoyer de données à caractère personnel vers les USA en utilisant le « Safe Harbor » comme fondement légal.

 

L’affaire Max Schrems

A l’origine de cette affaire se trouve Maximillian Schrems, un citoyen autrichien ayant introduit une plainte auprès du commissaire irlandais à la protection des données en raison du fait que Facebook Ireland transfère aux USA les données à caractère personnel de ses utilisateurs et les conserve sur des serveurs situés dans ce pays. Il soulève notamment le fait que le droit et les pratiques des Etats-Unis n’assurent pas un niveau de protection adéquat et émet des doutes au sujet de la validité du « Safe Harbor ».

La CJUE, jusqu’à laquelle l’affaire est remontée, a donc dû examiner si l’accord « Safe Harbor » est conforme aux exigences découlant de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lue à la lumière de la Charte.

Si l’expression « niveau de protection adéquat » n’est pas définie dans la directive, la CJUE considère que celle-ci doit être comprise « comme exigeant que ce pays tiers assure effectivement, en raison de sa législation interne ou de ses engagements internationaux, un niveau de protection des libertés et droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union ». Elle a ainsi considéré que la réglementation américaine en la matière ne limite pas le traitement des données à ce qui est nécessaire, l’intégralité des données étant conservée, les autorités publiques pouvant accéder de manière généralisée au contenu des communications électroniques et aucun recours n’étant mis à la disposition du justiciable pour obtenir l’accès, la rectification ou la suppression de ses données. La CJUE constate au regard de ces éléments que les Etats-Unis n’assurent pas un niveau de protection adéquat.

Par ailleurs, elle poursuit en relevant que les autorités nationales de protection des données ont la possibilité d’examiner, de manière indépendante, une plainte mettant en cause le niveau de protection des données à caractère personnel accordé par un pays tiers. Or, l’accord « Safe Harbor » prive les autorités nationales de contrôle de cette faculté.

Dès lors, la CJUE considère comme invalide la décision par laquelle la Commission européenne a reconnu que les entreprises américaines se conformant aux principes inscrits dans l’accord « Safe Harbor » offraient un niveau de protection adéquat.

 

Et maintenant?

Le « Safe Harbor » a été invalidé par la CJUE et cette décision est d’application immédiate. Les entreprises européennes transférant des données à caractère personnel vers des entreprises américaines ayant adhéré à l’accord « Safe Harbor » ne peuvent dès lors plus considérer que ce traitement est conforme à la directive 95/46.

Il faut donc trouver des alternatives permettant un tel traitement de données. A cet égard, trois possibilités sont à envisager. Tout d’abord, les entreprises peuvent conclure et signer des clauses types qui ont été officiellement certifiées par la Commission comme étant une preuve d’une protection adéquate des données.

Ensuite, les multinationales peuvent recourir aux « règles d’entreprise contraignantes » plus connues en anglais sous le nom de binding corporate rules. Il s’agit de règles édictées en interne auxquelles le groupe décide lui-même de se soumettre. Ces règles doivent offrir des garanties suffisantes au regard de la protection de la vie privée ainsi qu’à l’égard de l’exercice des droits correspondants. L’adoption de telles règles permet à une multinationale de s’assurer que tous les transferts de données effectuées en son sein sont réalisés avec un niveau de protection adéquat.

Enfin, l’entreprise peut envisager de transférer des données vers les Etats-Unis après obtention du consentement de la personne concernée. Toutefois, dans le contexte actuel, les personnes dont les données font l’objet d’un traitement risquent d’être quelque peu réticentes à l’idée de fournir leur accord à ce que leurs données soient transférées outre atlantique.

Ce qui est certain, c’est qu’aucune de ces options ne sera facile à implémenter et que le transfert de données vers les USA ne sera plus aussi simple que ce qu’il ne l’était avec l’accord « Safe Harbor ». Eu égard aux conséquences importantes qu’a cette décision de la CJUE sur les relations commerciales entre les deux continents, il faut espérer que des précisions seront apportées rapidement quant aux comportements à adopter ou que les négociations en cours pour modifier l’accord « Safe Harbor » aboutiront à un nouvel accord valable permettant le transfert sécurisé de données à caractère personnel vers les USA.

 

Bibliographie :

Share This