Invalidation du "Safe Harbor" par la Cour de justice de l'Union Européenne : Attention aux transfert de données vers les États Unis
Aux termes d'une décision en date du 6 octobre 2015, la Cour de justice de l'Union européenne a invalidé la décision de la Commission Européenne qui avait constaté que les Etats-Unis assuraient un niveau de protection suffisant des données à caractères personnel européennes transférées.
Rappelons que le transfert des données personnelles vers un pays tiers de l'Union Européenne est par principe interdit sauf dans certains cas limitatifs, à savoir :
- Si des clauses contractuelles types approuvées par la Commission européenne sont signées entre deux entreprises, ou ;
- Si des règles internes d'entreprises (Binding Corporate Rules) sont adoptées au sein d'un groupe multinational, ou ;
- Si l'une des exceptions prévues par l'article 69 de la loi Informatique et Libertés est invoquée, ou ;
- Si le transfert a lieu vers un pays reconnu par la Commission européenne comme "offrant un niveau de protection des données suffisant" .
C'est dans ce dernier cadre que la Commission Européenne avait, par décision du 26 juillet 2000, considéré que le Safe Harbor, qui servait de fondement au transfert de données personnelles, offrait un niveau de protection adéquat des données personnelles. Le Safe Harbor est un ensemble de principes relatifs à la protection des données à caractère personnel auquel les entreprises adhèrent volontairement. La Cour de justice de l'Union Européenne saisie d'une question préjudicielle a du se prononcer sur le fait de savoir si les Etats-Unis assuraient effectivement par leur législation "un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l'Union".
Suite, entre autre, aux révélations d'Edward Snowden sur les pratiques de surveillance de masse de la NSA, la CJUE n'a pu que constater que le système américain était incompatible avec une protection adéquate des droits des citoyens européens.
Désormais, les sociétés localisées en Europe souhaitant transférer des données personnelles aux Etats-Unis ne pourront plus se prévaloir de l'adhésion du réceptionnaire des données au Safe Harbor pour légitimer le transfert, mais devront se tourner vers les solutions juridiques énoncées ci-dessus.
A retenir:
L'invalidation du Safe Harbor par la CJUE contraint ainsi les entreprises envisageant un transfert de données personnelles vers les Etats-Unis à trouver de nouveaux fondements pour légitimer leur transfert. Rappelons ici que les sanctions encourues en cas de non respect des règles en matière de transferts de données personnelles sont de 300 000 euros d’amende et de 5 ans d’emprisonnement aux termes des articles 226-16, 226-16 A et 226-22-1 du Code pénal.