27 oct 2015

Données personnelles - La Cour de Justice invalide la décision « Safe Harbor »

Le 6 octobre dernier, la CJUE a invalidé la décision 2000/520/CE de la Commission, du 26 juillet 2000 dite « Safe Harbor » qui permettait aux acteurs installés en Europe de transférer des données personnelles vers les Etats-Unis.

Pour rendre ce type de décision, la Commission européenne doit en effet faire le constat que ce pays assure, en raison de sa législation nationale ou d’engagements internationaux, un niveau de protection adéquat au regard des exigences du droit communautaire. Tel n’a pas été le cas en l’espèce, la Commission s’étant bornée à examiner le régime de la sphère de sécurité. La Cour de Justice observe en particulier que la réglementation américaine autorise de manière généralisée la conservation de toutes les données à caractère personnel des personnes faisant l’objet de ce transfert ainsi que l’accès généralisé au contenu de communications électroniques.

Le niveau de protection assuré par les Etats-Unis n’étant pas considéré comme adéquat, la Cour a invalidé la décision de la Commission européenne.

Consulter l’arrêt du 6 octobre 2015.

Le G29 a par la suite présenté ses premières conclusions quant à l’impact de cet arrêt. Il en résulte en premier lieu que les transferts de données vers les Etats-Unis ne pourront plus être fondés sur la décision « Safe Harbor ». Les autorités européennes et américaines disposent d’un délai de 3 mois pour discuter entre elles et conclure un nouvel accord. Les acteurs privés peuvent néanmoins continuer à se prévaloir des clauses contractuelles types et des Binding Corporate Rules (BCR). Le G29 va néanmoins examiner l’impact de l’arrêt sur ces outils.

Consulter la position du G29.

La mise en conformité, suite à cette décision, pouvant potentiellement prendre plusieurs mois, les membres directement concernés sont invités à débuter dès à présent les démarches. Plus globalement, les membres sont invités à auditer les contrats les liant à leurs prestataires. La décision peut en effet avoir un impact indirect sur leurs activités dans l’hypothèse où les prestataires, ou leurs sous-traitants, procéderaient à des transferts internationaux de données vers les Etats-Unis.