USA EU Relations

Transfert de données à caractère personnel vers les Etats-Unis : la Cour de Justice de l’Union Européenne annule l’accord « Safe Harbour »

Par un arrêt du 6 octobre 2015, la Cour de Justice de l’Union Européenne a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées (accord dit du Safe Harbour du 26 juillet 2000).

Qu’est-ce que le Safe Harbour ?

Selon le régime européen de protection des données personnelles (directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), les transferts de données à caractère personnel vers les pays tiers à l’Union européenne sont en principe interdits, sauf si le pays de destination assure un niveau de protection suffisant (ou « adéquat ») des données personnelles.

Diverses dérogations sont prévues, parmi lesquelles le contrat et le consentement de la personne concernée (article 26 de la directive).

Pour apprécier si un pays tiers offre un niveau de protection adéquat, la directive donne différents critères. L’appréciation s’effectue au cas par cas, en tenant compte des circonstances particulières au traitement et aux données et des conditions générales prévalant dans le pays destinataire. La Commission peut décider qu’un pays assure ou n’assure pas un niveau de protection adéquat, en raison de sa législation interne ou de ses engagements internationaux.

Or, les Etats-Unis, un des principaux partenaires commerciaux de l’Union Européenne, sont loin d’assurer ce « niveau de protection adéquat ».

Après plusieurs années de négociations, la Commission européenne est arrivée à un accord avec le Ministère du commerce américain sur un ensemble de principes dit de « la sphère de sécurité » (Safe Harbour) relatifs à la protection de la vie privée. Les entreprises établies aux Etats-Unis et s’engageant à respecter ces principes peuvent recevoir des données en provenance de l’Union européenne. Ce système fonctionne sur la base du volontariat et les entreprises qui veulent bénéficier du système du Safe Harbour se déclarent auprès du Département du commerce américain.

C’est ce système que la CJCE, saisie dans le cadre d’un litige entre un citoyen autrichien, qui voulait que Facebook cesse de transférer ses données aux Etats-Unis, et l’autorité de protection des données irlandaises, a rendu caduc.

La motivation de la décision est tout autant politique que juridique : en cause, le manque d’effectivité des recours des citoyens européens en cas de non respect des principes du Safe Harbour, mais également les pratiques de surveillance généralisée des communications électroniques pratiquées par le gouvernement américain révélées par Snowden.

Quelles sont les entreprises concernées par cet arrêt ?

Plusieurs milliers d’entreprises ont adhéré au Safe Harbour pour leurs transferts de données en provenance de l’Union européenne, et pas seulement des géants du web comme Facebook, Amazon ou Google.

Indirectement, les entreprises françaises ou européennes qui utilisent les services de sociétés situées aux Etats-Unis, par exemple dans le cadre de services cloud, peuvent être affectées par cette décision.

Les entreprises qui ont fondé leurs transferts de données personnelles sur l’adhésion aux principes du Safe Harbour devraient théoriquement cesser tout transfert de données dans l’immédiat, en attendant de soumettre leurs transferts de données à l’examen des autorités de protection.

L’effet « couperet » de cette solution la rend improbable.

Force est toutefois de constater que s’ouvre une période d’incertitude sur les conséquences juridiques de cette décision sur l’ensemble des transferts intervenus dans le cadre du Safe Harbour.

Mise à jour : le 12 juillet 2016 la Commission européenne a adopté le Privacy Shield en remplacement du Safe Harbor. Entré en vigueur en août 2016, il reste controversé et a fait l’objet d’un recours en annulation devant le Tribunal de l’Union européenne.

Par Valérie Sédallian

En savoir plus :

L’arrêt de la CJCE du 6 octobre 2015

Site de l’UE sur les transferts internationaux de données

Valérie Sédallian, avocat au Barreau de Paris depuis 1992, est spécialiste en droit de l’informatique. N’hésitez pas à nous contacter.

Commentaires

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *