Données personnelles : le nouveau cadre juridique est attendu d’urgence.
Publié le 20/10/2015 par Etienne Wery , Thierry Léonard
La CNIL et ses consoeurs européennes préviennent : après l’invalidation des safe harbor par la Cour de justice, les institutions européennes et les gouvernements sont sommés de trouver des solutions politiques, juridiques et techniques avec les autorités US avant le 31 janvier 2016. De quoi précipiter l’adoption du nouveau règlement?
C’est la CNIL qui l’annonce sur son site : le G29 (composé de l’équivalent de la CNIL dans chacun des pays membres de l’Union européenne) s’est réuni le 15 octobre 2015 suite à l’invalidation des safe harbour par la cour de justice.
Objectif de la réunion : analyser les conséquences de la décision de la Cour de Justice et adopter une approche commune pour les diverses commissions nationales de contrôl.
C’est dit en termes diplomatiques, mais c’est dit tout de même : les institutions européennes et les gouvernements sont mis en demeure de trouver des solutions politiques, juridiques et techniques avec les autorités US avant le 31 janvier 2016.
En cas d’absence d’accord ? ?
Ce sont les entreprises qui vont trinquer. Les autorités s’engagent en effet à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées, pour que cessent dès ce moment les transferts de données depuis l’Union Européenne vers les Etats-Unis pusique suite à l’invalidation, les transferts qui ne reposaient que sur les safe harbor sont forcément dénués de base juridique.
La position du G29
Dans le communiqué, le G29 souligne en premier lieu que la question de la surveillance massive et indiscriminée est au cœur de l’arrêt de la CJUE invalidant la décision de safe harbor du 26 juillet 2000. Il rappelle à ce titre qu’il a toujours considéré qu’une telle surveillance était incompatible avec le cadre juridique européen et que les outils de transferts ne pouvaient constituer une solution à ce problème. Par ailleurs et comme le G29 l’a déjà indiqué, les pays tiers (en dehors de l’Union Européenne) dans lesquels des autorités publiques accèdent aux informations personnelles, ne peuvent être considérés comme des destinations sûres dans le cadre de transferts. A cet égard, la décision de la CJUE implique que chaque décision d’adéquation résulte d’une analyse approfondie des lois nationales du pays tiers ainsi que des accords internationaux.
Il est vrai que le G29 a déjà émis des doutes sur ce qui se passait aux États-Unis une fois que les données personnelles y avaient été transférées. De là à insister sur le fait qu’il a dit et redit qu’il était contre le système…. Le G29 est nécessairement un organe politique. Il est composé de commissions nationales qui, même si elles travaillent toutes dans une direction commune, ont des fondamentaux parfois très différents. La France ou l’Allemagne ont des positions parfois très éloignées de celles de la Pologne ou du Royaume-Uni. Il en résulte que les prises de position du G29 prennent parfois la forme d’un message très politique à décoder.
Toujours est-il que le G29 demande aux Etats membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux.
« De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord safe harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes. » (Communiqué de la CNIL)
En parallèle, le G29 poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) mais considère que durant cette période, ces outils peuvent encore être utilisés par les entreprises. Les autorités de protection des données se réservent néanmoins la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.
Cette précision fera plaisir à beaucoup d’observateurs. Dans l’immédiat, il n’y a donc pas lieu de s’inquiéter si le transfert à destination des États-Unis disposait non seulement d’un premier filet de sécurité sous la forme du Safe harbor, mais d’un 2e ou 3e filet (BCR ou clauses contractuelles). Sur la différence entre ces systèmes, nous renvoyons à notre guide pratique.
Sinon ?
Selon le communiqué de la CNIL, « si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 et en fonction de l’évaluation en cours des outils de transferts par le G29, les autorités s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.
Au regard de la décision de la CJUE, il apparait très clairement que les transferts de données depuis l’Union Européenne vers les Etats-Unis ne sont plus possibles sur la base de la décision de safe harbor du 26 juillet 2000. En tout état de cause, les transferts qui s’opèreraient encore sur cette base juridique sont illégaux. »
Bref, les institutions européennes et les gouvernements sont mis en demeure de trouver une solution, à défaut de quoi se sont les entreprises qui leur mettront la pression parce qu’elles seront eux-mêmes sous pression des autorités nationales de protection des données.
On appelle ça une mise en demeure, certes très diplomatique mais une mise en demeure tout de même.
Afin d’informer l’ensemble des parties prenantes, les autorités de protection des données européennes vont lancer des campagnes d’information au niveau national, comprenant une information ciblée auprès des entreprises ayant déjà réalisé des transferts sur la base du safe harbor et une information générale sur les sites des autorités.
Enfin, le G29 tient à insister sur les responsabilités partagées des autorités de protection, des institutions européennes, des Etats membres et des entreprises pour élaborer des solutions robustes. Dans ce contexte, les entreprises doivent en particulier mettre en œuvre des solutions juridiques et techniques pour limiter les risques éventuels qu’elles prennent en transférant des données à l’étranger, quant au respect des droits fondamentaux des personnes.
Après la Cour européenne, les autorités nationales de contrôle mettent la pression sur la Commission : il est temps qu’elle réforme le système de protection des données actuelle. Vous avez dit « un nouveau règlement » ?…