Médias & Contenus  >  Actualités  >  « Safe Harbor » - Décision Schrems : ce qu’il faut savoir et ce qu’il faut faire (par le cabinet Gide)

« Safe Harbor » - Décision Schrems : ce qu’il faut savoir et ce qu’il faut faire (par le cabinet Gide)



Par la décision Schrems du 6 octobre 2015, la Cour de Justice de l’Union Européenne (« CJUE ») a invalidé la décision de la Commission européenne sur le « Safe Harbor », qui permettait le transfert, sans aucune formalité, de données personnelles de l’Europe vers des entreprises américaines ayant adhéré aux principes du Safe Harbor. Thierry Dor et Dane Rimsevica, avocats associés au cabinet Gide, analysent cette décision et ses conséquences dans une tribune pour Satellinet.

« La CJUE a précisé que, même en présence d’une décision de la Commission européenne, les autorités de contrôle nationales, telles que la CNIL en France, peuvent examiner les demandes qui leur sont soumises et vérifier que le transfert de données vers un pays tiers est conforme à la législation européenne en matière de protection des données personnelles. Selon la CJUE, le fait que les autorités américaines puissent accéder de manière massive et indifférenciée aux données transférées, sans assurer de protection juridique efficace aux citoyens européens concernés, porte atteinte au droit fondamental au respect de la vie privée et à la protection des données personnelles, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. La CJUE n’a pas donné d’indication sur le sort des transferts de données en cours vers les États-Unis sur la base du Safe Harbor, ni sur la période transitoire dont disposeront probablement les entreprises pour adapter leurs politiques de transferts à la nouvelle situation. Le Safe Harbor est un mode de transfert de données simplifié, mais d’autres mécanismes de transfert des données existent. En effet, les données peuvent être transférées vers un pays tiers sur la base des « clauses contractuelles types », modèles de contrats de transfert adoptés par la Commission européenne. Autre option, la mise en place de « Binding Corporate Rules » (BCR) : codes de conduite définissant les règles à respecter en matière de protection et de transfert de données au sein d’un groupe. Dans certains cas limités et pour les transferts non-massifs, il est également permis de transférer des données sur la base d’un consentement exprimé par l’individu, ou lorsque le transfert est nécessaire à l’exécution d’un contrat ou à la défense d’un droit en justice. La signature prochaine d’un nouvel accord « Safe Harbor », comportant des garanties supplémentaires pour les citoyens européens est également une solution souhaitable. La négociation de cet accord est en cours depuis 2013 et selon V?ra Jourová, la Commissaire européenne en charge de la justice, la décision Schrems devrait avoir un impact positif sur ces négociations. Afin d’assurer une application uniforme de la décision de la CJUE, les autorités de contrôle nationales se sont immédiatement concertées. Une réunion du G29, groupe européen des autorités de contrôle nationales, aura lieu très prochainement afin de déterminer les conséquences de cette décision. S’il est conseillé d’attendre les précisions des institutions avant de mettre en place de nouveaux mécanismes de transferts, les entreprises doivent déjà identifier les transferts de données en cours vers les États-Unis réalisés sur la base du Safe Harbor, ce qui n’est pas simple car ces transferts ne sont généralement pas documentés. »

Il vous reste 0 mots à lire.
Vous avez déjà un compte ? Identifiez-vous
« Safe Harbor » - Décision Schrems : ce qu’il faut savoir et ce qu’il faut faire (par le cabinet Gide)