Dans un arrêt de ce matin (C-362/14 - Maximilian Schrems v Data Protection Commissionner), la Cour de Justice a déclaré invalide le Safe Harbour Framework, ce qui rend le transfert des données personnelles entre l'EEE et les États-Unis possible. Cette décision intervient moins de deux semaines après que l'avocat général Bot ait atteint la même conclusion dans son opinion du 23 Septembre 2015.
Pourquoi y-a-t-il un Safe Harbour Framework ?
Des données personnelles ne peuvent être transférées vers des pays hors EEE que si le pays non-EEE garantit "un niveau de protection adéquat" et assure ainsi la protection des données personnelles en conformité avec les normes de protection de l'EEE.
Les responsables du traitement ont un certain nombre de possibilités à leur disposition pour transférer des données personnelles vers des pays tiers. Ils peuvent ainsi:
- conclure des clauses contractuelles types avec le destinataire des données dans le pays tiers;
- mettre en œuvre des "binding corporate rules"; ou
- dans certains cas, invoquer une des exceptions (telles que le consentement de la personne concernée) inscrits à l'article 22 de la loi du 8 Décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
Spécifiquement pour les États-Unis, il y avait, en plus des options ci-dessus, la possibilité de fonder un transfert de données à caractère personnel sur la certification Safe Harbour du destinataire aux États-Unis.
C'est quoi, le Safe Harbour Framework ?
Le Safe Harbour Framework a été adopté après des années de négociations entre l'UE et les États-Unis. Il se compose d'un certain nombre de principes, dits "Safe Harbour", auxquels les entreprises américaines peuvent se conformer à travers des mécanismes d'auto-déclaration et d'auto-évaluation. Ils sont alors réputés offrir la protection adéquate prévue pour l'EEE, et ils peuvent recevoir sans mesure supplémentaire des données personnelles de l'EEE. Les principes ont été établis par la décision 2000/520/CE du 26 juillet 2000 de la Commission européenne.
Pourquoi le Safe Harbour Framework est-il sous pression ?
Les révélations de Edward Snowden ont bien démontré comment des données personnelles chez des entreprises américaines peuvent faire l'objet de programmes de surveillance de masse des États-Unis, même si le destinataire y établi est certifié Safe Harbour.
Ce constat a abouti à une critique croissante du Safe Harbour Framework. La question s'est posée de savoir si le Safe Harbour Framework ne devait pas être suspendu temporairement. Dans une résolution adoptée en mars 2014, le Parlement Européen a répondu par l'affirmative.
En outre, un étudiant doctorant autrichien, Max Schrems, a porté plainte auprès de l'autorité de protection des données irlandaise contre le fait que Facebook Irlande transmet des données à Facebook US (qui possède une telle certification Safe Harbour), de sorte que les autorités américaines pourraient avoir accès à ses données. Il a donc demandé de suspendre les transferts des données. L'autorité de protection des données irlandaise a refusé parce qu'elle était, par son point de vue, liée par la décision 2000/520/CE, laquelle avait avalisé le niveau de protection adéquat du Safe Harbour Framework.
Qu'est-ce que la Cour de Justice a examiné et décidé ?
La Cour devait examiner si la décision 2000/520/CE sur le Safe Harbour Framework, à la lumière des articles 7 et 8 de la Charte des droits fondamentaux, empêche les autorités nationales de protection des données de vérifier in concreto si le Safe Harbour Framework offre réellement un niveau de protection adéquat et de suspendre le transfert des données si le niveau de protection ne s'avère pas adéquate.
La Cour de Justice a d'abord statué en ce sens que les autorités nationales de protection des données peuvent examiner si un niveau de protection adéquat existe. Celles-ci sont en effet d'après la Cour des autorités indépendantes qui doivent être en mesure d'évaluer si le transfert de données est conforme aux exigences énoncées dans la directive sur la protection des données 95/46/CE.
La Cour va également plus loin en décidant que le Safe Harbour Framework n'est pas valide parce qu'une réglementation n'est pas limitée au strict nécessaire, dès lors qu'elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l'Union vers les États-Unis, sans qu'aucune différenciation, limitation ou exception ne soient opérées en fonction de l'objectif poursuivi et sans que des critères objectifs ne soient prévue en vue de délimiter l'accès des autorités publiques aux données et leur utilisation ultérieure.
Qu'est-ce que vous, en tant qu'entreprise, devez faire maintenant ?
Pour l'instant vous ne pouvez plus baser vos transferts des données sur la certification Safe Harbour de votre contractant américain.
La méthode la plus rapide pour assurer le respect des règles est de conclure des clauses contractuelles types avec le destinataire de données personnelles aux États-Unis (des clauses contractuelles types issues par la Commission européenne peuvent être trouvées ici et ici pour un transfert des données d'un responsable du traitement à l'autre et ici pour le transfert des données d'une responsable du traitement à un sous-traitant). Cependant, gardez à l'esprit que vous devez transmettre une copie de ce contrat à la Commission de la vie privée. Des groupes des entreprises internationaux peuvent aussi penser à la procédure d'adoption de binding corporate rules, qui demande plus de temps. Rappelez-vous, enfin, qu'il faut le cas échéant adapter vos politiques (internes et externes).