• Données personnelles

    par , Avocat

    Invalidation du Safe Harbor : quelles conséquences pour votre entreprise ?

    Votre entreprise ou vos sous-traitants transfèrent des données vers les Etats-Unis ? Cette décision vous concerne. Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt retentissant en invalidant le dispositif du Safe Harbor et rendant ainsi les transferts de données vers ce pays illégaux. Analyse d’impact de cette décision.

    Quelles sont les règles en matière de transfert de données hors UE ?

    Par principe, la directive 95/46/CE et la loi informatique et libertés interdisent le transfert de données hors de l’Union Européenne sauf si l’Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux. Cela se manifeste principalement par les garanties apportées pa la législation en vigueur dans cet Etat.

    Le Safe Harbor est un mécanisme mis en œuvre par la Commission Européenne qui fournit une base juridique au transfert de données vers les Etats-Unis.

    Qu’est ce que le Safe Harbor ?

    Il s’agit d’une décision de la Commission du 26 juillet 2000 par laquelle l’Union Européenne reconnait que les entreprises américaines qui y adhérent disposent d’un niveau de protection adéquat pour le transfert de données personnelles depuis l’UE.  Ce mécanisme est simplement déclaratoire et repose en grande partie sur une auto-certification des entreprises.

    Aux Etats-Unis, la Fédéral Trade Commission (FTC) est chargée de la mise en œuvre de ces principes du Safe Harbor sur le sol américain. La FTC publie des principes ainsi qu’une grille de conformité et dresse une liste de l’ensemble des organismes qui se conforment au Safe Harbor.

    Suite aux révélations d’Edward Snowden sur la surveillance massive d’Internet, la Commission a publié un rapport en 2013 dans lequel elle pointe l’existence d’un certain nombre d’insuffisances. Elle considère que : « l’accès à grande échelle des agences de renseignement aux données que des entreprises certifiées au titre de la sphère de sécurité transfèrent aux États-Unis soulève de graves questions sur la continuité de la sauvegarde des droits des citoyens européens en matière de protection des données lorsque des données les concernant sont transférées aux États-Unis ».

    La Commission appelait dès 2013 à la renégociation de cet accord.

    Quel est le litige à l’origine de cet arrêt ?

    Maximilien Schrems est un ressortissant autrichien, qui suite aux révélations Snowden, s’inquiète du traitement de ses données personnelles par Facebook. Il saisi l’autorité irlandaise d’une plainte lui demandant de suspendre le transfert de ses données personnelles vers les Etats-Unis au motif que les pratiques de ce pays ne permettait pas de garantir une protection suffisante de ses données.

    Après le rejet de sa plainte pour défaut de preuve par l’autorité, Mr Schrems décide de saisir la juridiction suprême irlandaise.

    La cour considère que cette affaire concerne la mise en œuvre du droit de l’Union Européenne et interroge ainsi la Cour de Justice de l’Union Européenne (CJUE) sur le fait de savoir si l’autorité de contrôle est liée par la décision Safe Harbor de 2000 de la Commission ou si, de sa propre enquête, cette autorité peut contester la décision.

    Que dit la Cour de Justice de l’Union Européenne ?

    Les apports de cette décision sont multiples.

    Tout d’abord, selon la CJUE, une autorité de contrôle peut enquêter sur le caractère adéquat du transfert de données vers un Etat tiers dès lors qu’il existe des raisons de douter de la conformité de cet Etats aux règles de l’UE nonobstant le fait que la Commission avait adopté dans le passé une décision reconnaissant la conformité de cet Etat.

    Ensuite, pour la Cour, un mécanisme d’auto-certification comme celui du Safe Harbor doit reposer sur des procédures de contrôle efficaces. Pour la Cour, le mécanisme n’est pas satisfaisant dès lors que la décision de 2000 consacre la primauté des exigences relatives à la sécurité nationale et au respect des lois des Etats-Unis sur les principes du Safe Harbor. Ainsi, les ingérences dans la vie privée sont trop importantes.

    La Cour ajoute qu’une réglementation qui autorise de manière généralisée la conservation de l’intégrité des données personnelles de toutes les personnes dont les données sont transférées aux Etats-Unis sans différenciation ou limitation doit être considérée comme portant atteinte au droit au respect de la vie privée défini par l’article 7 de la Charte.

    Enfin, l’absence de voies de recours pour la personne concernée méconnait le droit au recours effectif consacré par l’article 47 de la Charte.

    De cette argumentation la CJUE considère que la décision de la Commission de 2000 est invalide.

    Quelles sont les conséquences de cet arrêt ?

    Par cet arrêt, il faut comprendre que les Etats-Unis ainsi que les organismes adhérant au Safe Harbor n’ont plus de niveau de protection adéquat au regard de la Directive. Les transferts vers les Etats-Unis n’ont plus de base juridique depuis cet arrêt. Ainsi, toute entreprise qui transfert des données vers les Etats-Unis est en infraction avec la loi.

    Pour mémoire, en France, le transfert de données vers un pays ne présentant pas un niveau de protection adéquat est réprimé par l’article 226-22-1 du code pénal d’une peine de 5 ans de prison et de 300 000€ d’amende.

    Quelle est la position des autorités de contrôle ?

    Le 15 octobre 2015, le groupe des autorités de contrôle européennes (G29) a adopté une position commune enjoignant les Etats membres de l’Union, les institutions et les autorités américaines de trouver des solutions pour combler le vide juridique causé par cet arrêt.

    Le G29 considère que les transferts de données fondés sur le Safe Harbor sont désormais illégaux.

    Les autorités sont d’accord pour engager des actions répressives dans un délai de 3 mois (à partir de fin janvier 2016) si aucune solution n’est trouvée d’ici là.

    Quelles sont les solutions pour se mettre en conformité ?

    En attendant un nouveau texte,  il est fondamental en tant qu’entreprise française de faire signer des clauses contractuelles à ses sous-traitants situés aux Etats-Unis afin de garantir la sécurité et la confidentialité des données traitées.

    A défaut, il appartient aux entreprises de s’assurer que les données sont hébergées en Europe et d’avoir recours à des sous-traitants qui garantissent cet hébergement en Europe.

    Tout transfert de données vers les Etats-Unis pourrait faire l’objet d’une action répressive de la CNIL en cas de contrôle.

    Que font les pouvoirs publics ?

    Si les Etats-Unis et l’Union Européenne négocient un nouveau cadre depuis deux ans, l’arrêt de la CJUE a semble t-il accéléré le rythme des négociations. Les parties prenantes ont trouvé un accord de principe sur la signature d’un Safe Harbor II.

    Reste que de nombreux points sont encore discussion dans le nouveau projet.

    Des mécanismes de supervision et de recours en cas d’atteinte aux données personnelles seraient envisagés ainsi que des conditions plus claires et plus restrictives d’accès aux données par les autorités américaines.

    Par ailleurs, les représentants de l’Union Européenne souhaitent que cet accord puisse être révisé régulièrement (une fois par an) afin de tenir compte des évolutions législatives et technologiques.

    Etant donné les enjeux de part et d’autre, il n’est pas certain qu’un accord soit trouvé pour le début d’année prochaine.

    Edouard Verbecq
    Juriste