Pour gérer vos consentements :

Safe Harbor : l’ultimatum des CNIL européennes

Après la décision de la Cour de Justice de l’Union européenne (CJUE) invalidant l’accord dit Safe Harbor, le groupe des CNIL européennes (G29) demande aux autorités européennes et américaines d’agir sous trois mois pour trouver des « solutions techniques et juridiques » qui permettent le transfert de données de l’Union européenne vers les États-Unis, « dans le respect des droits fondamentaux ».

« De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord Safe Harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques », explique le G29.

En finir avec le flou juridique

Considérant que le niveau adéquat de protection des données personnelles n’est pas assuré, la Cour de Justice de l’Union européenne a invalidé, le 6 octobre 2015, l’accord dit Safe Harbor du 26 juillet 2000. Cette décision de justice concerne plus de 4000 entreprises américaines qui adhèrent volontairement au Safe Harbor, ainsi que les entreprises européennes qui leur transmettent des données. Pour la Commission nationale de l’informatique et des libertés (CNIL), il ne s’agit pas d’un « vide », mais d’une « question juridique » sur la base légale des transferts de données vers les États-Unis. Aujourd’hui, il revient aux régulateurs nationaux en charge de la protection des données d’informer les parties prenantes et de fournir plus de « lisibilité » aux entreprises sur ce dossier.

Une solution attendue pour janvier 2016

Les institutions européennes et les États membres devront donc trouver, avec les autorités américaines, une solution « satisfaisante » avant le 31 janvier 2016. Faute de quoi, les régulateurs du G29 « s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En attendant, les autres outils encadrant les tranferts – les clauses contractuelles types et les règles internes d’entreprise (BCR ou Binding Corporate Rules) – peuvent être utilisées par les entreprises. Mais « les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir », précise le G29.

Dans une récente tribune, l’avocat François Coupez, associé au cabinet ATIPIC, indiquait que l’adoption très probable d’ici la fin de l’année du règlement européen sur la protection des données « pourrait limiter la nécessité à moyen terme d’un Safe Harbor 2 ».

Lire aussi :

Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ? (tribune)

crédit photo © rommma – shutterstock.com

Recent Posts

FireEye + McAfee Enterprise : alias Trellix pour l’offensive XDR

Effective sur le plan capitalistique, la fusion entre FireEye et McAfee Enterprise l'est désormais aussi…

28 minutes ago

Cybersécurité : 5 priorités des DSI

Les priorités de protection exprimées par des responsables informatiques en France se concentrent sur les…

5 heures ago

Cybersécurité : un élan EDR en France ?

L'EDR a enregistré une nette progression dans le parc de solutions cyber des entreprises qui…

5 heures ago

Stockage primaire : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche du stockage primaire et en quoi se distinguent-ils ? Éléments…

8 heures ago

Investissements IT : Gartner prévoit 5,1% de croissance en 2022

Les investissements informatiques mondiaux augmenteraient de plus de 5% en 2022. Une année de perspectives…

23 heures ago

Smartphones : les constructeurs éteindront-ils la 2G avant les opérateurs ?

Android 12 embarque une option qui permet de désactiver la 2G. Avec elle, Google dame-t-il…

1 jour ago