8 oct 2015
Chiffres et dates clés

La Cour de Justice de l’Union européenne a invalidé l’accord « Safe harbor » qui encadrait le transfert des données personnelles de l’Europe vers les Etats-Unis

5
MIN
En invalidant l’accord « safe harbor » du 26 juillet 2000 par un arrêt du 6 octobre 2015 , la CJUE a constaté que les Etats-Unis « n’assuraient pas effectivement, par leur législation ou leurs engagements internationaux, un niveau de protection suffisant ( « adequat ») des données à caractère personnel européennes transférées substantiellement équivalent à celui garanti au sein de l’Union ».
image drapeau européen

La Cour a en effet relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, alors qu’ une réglementation « permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte des droits fondamentaux de l’Union ».

L’arrêt de la Cour constate que la Commission européenne n’a pas recherché si les Etats-Unis « assurent » effectivement une protection adéquate alors qu’il  « incombe à la Commission de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit. Une telle vérification s’impose, en tout état de cause, lorsque des indices font naître un doute à cet égard. »
En réaction à cet arrêt, la CNIL s’est félicitée, « y compris avec ses homologues du G29, d’avoir  attiré l’attention depuis plusieurs années sur la situation créée par la législation américaine et sur le caractère disproportionné d’une collecte massive et indifférenciée de données. Elle avait également attiré l’attention, dans ce contexte, sur les insuffisances du « safe harbor ». » 

Quel sera finalement l’impact de cette décision?  Dans l’attente de la décision de l’Autorité Irlandaise de protection des données sur le cas d’espèce et d’une renégociation éventuelle d’un nouveau « Safe harbor » répondant aux conditions posées par la CJUE, les entreprises peuvent disposer d’autres instruments pour les transferts de données tels que les BCR (Binding Corporate Rules), - codes de bonne conduite via lequel les entreprises garantissent contractuellement un niveau de protection suffisant aux données personnelles qu’ils veulent traiter ailleurs que dans l’UE- , toutefois de tels instruments ne peuvent constituer des solutions de long terme et doivent être validés de même par les autorités de protection des données nationales. Un effet plus structurel de la décision de la CJUE pourrait donc être l’accélération de la création de datacenters en Europe. La localisation des données sur le sol européen pouvant en effet garantir « une protection adéquate » pour l’Union européenne.

Pour approfondir le sujet :
-      le CP de la CJUE : http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117...  et l’arrêt de la Cour : http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pa...
-      le CP de la Commission européenne : http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.ht .
-      le CP de la CNIL : http://www.cnil.fr/linstitution/actualite/article/article/invalidation-d...
-      le CP du G29 : http://ec.europa.eu/justice/data-protection/article-29/press-material/pr...

Retour sur le site de la Fédération Française des Télécoms