Safe Harbor : l'ultimatum des CNIL européennes

Après la suspension du mécanisme dit Safe Harbor, les régulateurs du G29 montent au créneau. Ils donnent trois mois aux institutions européennes pour négocier avec les États-Unis un accord intergouvernemental sur les données transférées offrant des garanties aux citoyens européens.

Après la décision de la Cour de Justice de l’Union européenne (CJUE) invalidant l’accord dit Safe Harbor, le groupe des CNIL européennes (G29) demande aux autorités européennes et américaines d’agir sous trois mois pour trouver des « solutions techniques et juridiques » qui permettent le transfert de données de l’Union européenne vers les États-Unis, « dans le respect des droits fondamentaux ».

« De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord Safe Harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques », explique le G29.

En finir avec le flou juridique

Considérant que le niveau adéquat de protection des données personnelles n’est pas assuré, la Cour de Justice de l’Union européenne a invalidé, le 6 octobre 2015, l’accord dit Safe Harbor du 26 juillet 2000. Cette décision de justice concerne plus de 4000 entreprises américaines qui adhèrent volontairement au Safe Harbor, ainsi que les entreprises européennes qui leur transmettent des données. Pour la Commission nationale de l’informatique et des libertés (CNIL), il ne s’agit pas d’un « vide », mais d’une « question juridique » sur la base légale des transferts de données vers les États-Unis. Aujourd’hui, il revient aux régulateurs nationaux en charge de la protection des données d’informer les parties prenantes et de fournir plus de « lisibilité » aux entreprises sur ce dossier.

Une solution attendue pour janvier 2016

Les institutions européennes et les États membres devront donc trouver, avec les autorités américaines, une solution « satisfaisante » avant le 31 janvier 2016. Faute de quoi, les régulateurs du G29 « s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En attendant, les autres outils encadrant les tranferts – les clauses contractuelles types et les règles internes d’entreprise (BCR ou Binding Corporate Rules) – peuvent être utilisées par les entreprises. Mais « les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir », précise le G29.

Dans une récente tribune, l’avocat François Coupez, associé au cabinet ATIPIC, indiquait que l’adoption très probable d’ici la fin de l’année du règlement européen sur la protection des données « pourrait limiter la nécessité à moyen terme d’un Safe Harbor 2 ».