Rédigé par Stéphanie Faber le 19 Octobre 2015
Suite à la décision de la Cour de justice de l’Union européenne (CJUE) dans l’affaire Schrem[1], le groupe de travail « article 29 » (G29) a publié le 16 octobre 2015 un communiqué de presse précisant sa position sur les points critiques à résoudre. La CNIL en a fait une traduction sur son site.
Le G29 regroupe toutes les autorités de protections des données personnelles de l’UE. Ses avis, de nature consultative, ne lient pas la Commission européenne, mais ont cependant une grande influence. De plus, ils permettent d’établir une approche harmonisée qui est la bienvenue lorsque des opinions contradictoires émanent des différentes autorités au sein de l’UE.
Le communiqué porte sur les actions à entreprendre par les institutions européennes et gouvernements concernés pour trouver des solutions juridiques et techniques « robustes » aux problèmes identifiés. Il clarifie aussi la position du G29 quant aux mesures que les sociétés certifiées Safe Habor doivent prendre en attendant lesdites solutions.
Le communiqué insiste sur le fait que, les transferts qui s’opèreraient encore sur la base du Safe Harbor sont désormais illégaux. Le G29 considère que durant les négociations actuelles portant sur un nouvel accord Safe Harbor, les autres outils de transfert (BCR, clauses contractuelles types) peuvent encore être utilisés par les entreprises pour légitimer les transferts de données vers les Etats Unis. En parallèle, le G29 « poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) ». De plus, les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.
Le communiqué précise que si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016, les autorités s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.
Dans l’intermédiaire, les autorités de protection des données européennes vont lancer des campagnes d’information au niveau national, afin d’informer l’ensemble des parties prenantes. Ceci peut notamment inclure de contracter les entreprises qui sont identifiées comme ayant déjà réalisé des transferts sur la base du Safe Harbor.
Les conséquences pour les sociétés transférant des données personnelles à partir de l’UE vers les USA, que ce soit intra groupe ou vers des tiers, sont les suivantes :
- Si des données sont transférées vers une société certifiée Safe Harbor, que celle-ci soit intra-groupe ou une société extérieure, vous devez immédiatement envisager de mettre en œuvre des outils alternatifs. Ceux-ci incluent principalement les clauses contractuelles types et les BCR.
- Si votre société transfère des données vers les USA sur la base des clauses contractuelles types ou des BCR, vous devez être conscient que même ces outils ne permettent pas de résoudre certaines des problématiques ayant amenées la CJUE à invalider le programme de Safe Habor. Cependant, pour l’instant, le communiqué du G29 semble limiter le risque d’utilisation de ces outils.
- Les entreprises devraient procéder à une revue de leurs pratiques en matière de transfert de données afin de se conformer aux exigences des clauses contractuelles types ou de leurs BCR et envisager les solutions juridiques et techniques qui seraient à prendre dans l’hypothèse où la date du 31 janvier 2016 pour un nouvel accord de Safe Harbor ne serait pas tenue.
***
L’équipe internationale de Protection des données personnelle et Cyber-sécurité de Squire Patton Boggs est à votre disposition pour vous accompagner de façon aussi pragmatique que possible dans l’identification et la mise en œuvre de mesures de conformité permettant de limiter les risques dans le cadre du transfert international de donnés.
Votre contact en France : stephanie.faber@squirepb.com
[1] http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&doclang=FR et voir aussi notre article à ce sujet La CJUE invalide le programme de sphère de sécurité dit Safe Harbor