Annulation des safe harbour et transfert de données personnelles vers les USA : les premières amendes sont tombées !
Publié le 10/06/2016 par Etienne Wery
Un communiqué de presse de la Commission de Hambourg (Allemagne) pour protection de la vie privée vient de l’annoncer : les premières amendes ont été prononcées par rapport aux transferts de données à caractère personnel en dehors de l’Union européenne.
Rétroactes :
· Selon la directive applicable, il est interdit de transférer des données à caractère personnel de l’Union européenne vers des pays tiers si le pays de destination n’assure pas un niveau de protection adéquat à ces données. Les pays qui bénéficient de ce label se content sur les doigts des deux mains.
· Pour lever cette interdiction, deux systèmes sont prévus : les BCR (binding corporate rules – sorte de code de bonne conduite interne à une entreprise ou un groupe d’entreprises) et les clauses types (engagement contractuel entre celui qui envoie des données et celui qui les reçoit).
· Un troisième système a été prévu pour lever cette interdiction, spécifiquement en ce qui concerne les flux transatlantiques entre l’Union européenne et les USA : les safe harbor.
· La justice européenne a invalidé les safe harbor.
· En raison de l’importance des flux transatlantiques, la commission européenne et le gouvernement américain négocie très activement le remplacement du système annulé par un nouveau cadre juridique plus sur (le privacy shield).
Quel est le risque ?
Dans l’attente de l’adoption finale du privacy shield, c’est l’incertitude.
On peut toutefois regrouper les cas de figure comme suit :
Cas n° 1. L’entreprise envoie des données aux États-Unis, et n’avait sécurisé l’échange que grâce au safe harbor. Elle n’a depuis lors pris aucune mesure complémentaire, en tablant sur l’adoption prochaine du privacy shield.
L’entreprise est clairement de bonne foi : son système était légal auparavant, et elle est victime du fait que le système du safe harbor a été mal conçu selon la justice. Cela n’empêche pas l’amende. C’est exactement le cas d’espèce qui a été sanctionnée par la Commission de Hambourg.
Les amendes actuelles vont de 8 à 11.000 €, mais elles peuvent monter jusqu’à 300.000 €. Le problème n’est pas que financier : certaines entreprises seraient probablement ravies de se débarrasser du problème pour 300.000 €. Le problème est surtout que les flux étant dépourvus de base légale, la justice pourrait parfaitement en ordonner l’arrêt. Pour les entreprises concernées, ce serait une vraie catastrophe.
Cas n° 2. L’entreprise envoie des données aux États-Unis, et n’avait sécurisé l’échange que grâce au safe harbor. Elle a, suite à l’invalidation du safe harbor, entamé la mise en place d’un deuxième filet de sécurité (BCR ou clauses types), mais cela prend du temps et elle n’est pas prête (les autorités européennes de protection de la vie privée s’étaient mis d’accord pour donner aux entreprises une période de grâce de six mois pour trouver une solution).
Par rapport au cas précédent, l’entreprise s’est montrée proactive lorsque le safe harbor a été annulé. Les amendes n’ont pas encore été prononcées, mais la commission allemande prévient : sa patience a des limites.
Cas n° 3. L’entreprise envoie des données aux États-Unis, et avait sécurisé l’échange via les BCR ou les clauses types.
Pour l’instant, le système tient toujours : seul le safe harbor a été invalidé. Mais la situation est néanmoins très incertaine car on ne peut pas exclure que la justice européenne annule les BCR et les clauses types pour les mêmes motifs que ceux qui l’ont conduits à annuler le safe Harbor.
Ces entreprises doivent donc suivre de très près l’adoption du privacy shield (et ensuite du nouveau règlement GDPR).
Plus d’infos ?
Un résumé du cadre juridique applicable aux flux de données à caractère personnel(en annexe à cette actu)
Notre précédente actualité
Le communiqué de presse (en allemand) de la commission Hambourgeoise.
Le site de référence sur le nouveau règlement européen GDPR