Transfert de données : après l’invalidation du Safe Harbor, à quoi s’attendre ?

Ariane-Mole-AWMAriane Mole
Avocate Associée
BIRD & BIRD
Intervenante lors de la conférence EFE « Réforme de la protection des données personnelles » le 24 mars 2016 à Paris

Franchement, qui croyait vraiment que la Commission européenne et les États-Unis parviendraient à s’entendre rapidement après l’invalidation historique par la CJUE en octobre 2015 des accords de Safe Harbor ? Le nouveau « Privacy Shield » adopté le 2 février 2016 est porteur d’espoir. Mais cet accord reste à préciser, rien n’est certain et les transferts de données vers les États-Unis sont donc toujours en sursis.
Les négociateurs européens et américains ont réussi, au terme d’un marathon, à respecter l’ultimatum adressé le 16 octobre par le G29 (qui réunit les 28 « CNIL » européennes) de trouver un accord politique fin janvier pour remplacer le Safe Harbor invalidé par la CJUE du fait des pratiques du renseignement américain. Il faut dire que l’enjeu est de taille puisque plus de 4000 entreprises américaines parmi les plus importantes – dont les géants du Net – adhéraient au Safe Harbor et recevaient quotidiennement des données d’un très grand nombre d’entreprises européennes.

Que contient le nouveau Privacy Shield ?

Pour l’instant c’est l’Arlésienne, on en parle mais on ne l’a pas vu. Lors de la conférence de presse du G29 le 3 février, sa présidente, Isabelle Falque-Pierrotin, qui est également la présidente de la CNIL, a indiqué que le G29 n’avait pas encore connaissance du texte, dont la communication n’est prévue que pour fin février. Le G29 pourra alors commencer à l’analyser, et devrait rendre son avis fin avril, après quoi la Commission européenne prendra sa décision.
Comme l’avait souligné la CJUE, les critères européens à prendre en compte pour déterminer si le Privacy Shield est suffisamment protecteur des droits des personnes sont notamment la transparence des règles, la proportionnalité de l’ingérence des services de renseignements américains, la supervision des transferts, et l’existence d’un droit de recours effectif pour la personne dont les droits auraient été violes, conformément à l’article 47 de la Charte des droits fondamentaux de l’Union.
C’est en particulier sur ce dernier point que des critiques se sont déjà manifestées dans les medias et sur les réseaux sociaux, car si l’existence d’un médiateur (ombudsman) est prévue, en revanche il n’existerait toujours pas de recours juridictionnel possible pour les non- résidents américains.

Les entreprises pourront-elles continuer à transférer des données aux États-Unis ?

Le G29 a également annoncé qu’il continuera d’ici avril à examiner si les autres mécanismes alternatifs pour les transferts de données (les contrats de transferts et les BCR) pourront continuer à être utilisés pour les transferts vers les États-Unis. Les entreprises européennes ne disposent donc que d’un moratoire jusqu’à fin avril pour continuer provisoirement à transférer des données vers les Etats-Unis sur la base de ces autres outils.
Il est évident que les services de renseignement américains peuvent aussi avoir accès aux données transférées sur la base de BCR ou de contrats de transferts, et c’est la raison pour laquelle certains considèrent que ces outils devraient être invalidés au même titre que l’a été le Safe Harbor pour ce qui concerne les flux vers les États-Unis.
Ceci aboutirait malheureusement à une situation de blocage pour les entreprises.
Ce serait également à notre avis oublier que ces outils ont été conçus précisément pour permettre le transfert vers des pays dépourvus de législation de protection des données personnelles: Notamment les clauses contractuelles type, qui ont été publiées par la Commission européenne à partir de 2001 sur le fondement de l’article 26 de la Directive 95/46 CE, ont pour objet de permettre aux entreprises européennes de transférer des données même à des destinataires situes dans des pays « sans protection adéquate », à condition que ces transferts soient régis par des contrats par lesquels les organismes destinataires hors de l’U.E. s’engagent à respecter les principes de protection de l’U.E. Il s’agit donc de pallier l’absence de loi protectrice dans le pays destinataire par un contrat entre la partie exportatrice d’une part, importatrice d’autre part. C’est également le cas des BCR qui permettent les transferts au sein d’un même groupe de sociétés, vers les entités situées dans des pays sans protection adéquate. Rien d’étonnant donc à ce que les lois du pays destinataire ne soient pas conformes aux normes européennes puisque c’est justement pour cette raison que des contrats ou des BCR sont conclus.
Ce n’était pas le cas des accords de Safe Harbor, car la Commission européenne avait considéré en les adoptant en 2000 – sur le fondement d’un autre article de la Directive 95/46 CE, l’article 25, qu’ils permettaient d’assurer l’adéquation de la protection aux Etats-Unis; C’est précisément parce que la CJUE a considéré qu’au contraire cette protection adéquate n’était pas assurée aux Etats-Unis qu’elle a annulé les accords de Safe Harbor.
Juridiquement, les critères à prendre en compte ne sont donc pas les mêmes s’agissant des clauses contractuelles type ou des BCR.

Les entreprises en otage

En attendant l’avis du G29, les entreprises qui utilisaient le Safe Harbor sont tenues sous peine de poursuites de recourir aux autres mécanismes existant pour transférer des données vers les Etats-Unis, sans savoir si ces mécanismes seront toujours valables après avril 2016. La CNIL a notamment écrit des novembre 2015 à toutes les entreprises lui ayant déclaré des transferts sous l’égide du Safe Harbor pour leur demander de modifier leurs pratiques et avertir qu’elle procèdera à des contrôles de conformité et pourra prendre des sanctions. En outre l’arrêt de la CJUE a place de manière générale tous les transferts internationaux sous le feu des projecteurs, ce qui augmente le risque de plaintes et de litiges. Les entreprises sont donc contraintes de minimiser les risques en adoptant des solutions nécessairement imparfaites et provisoires. Beaucoup d’entre elles ont déjà pris des mesures en ce sens, et beaucoup ont renégocié ou renégocient actuellement leurs contrats, notamment avec leurs prestataires de cloud.
Espérons qu’une solution politique permettra à la fois de garantir la sécurité juridique, et la préservation des valeurs de la protection des données personnelles et de la vie privée dont l’Union Européenne a fait un droit fondamental.

Laisser un commentaire