Dans une nouvelle décision majeure pour la protection des données, la Cour de justice de l’Union Européenne (CJUE) a invalidé la décision par laquelle la Commission européenne avait admis que les entreprises américaines ayant adhéré au Safe Harbor assurent un niveau de protection suffisant des données à caractère personnel européennes qui leur étaient transférées. Cette décision du 6 octobre 2015 fait suite à la demande de Max Schrems adressée à l’autorité irlandaise de protection des données de vérifier la légalité du transfert des données personnelles par Facebook de l’Irlande vers les USA.
Des données personnelles peuvent être transmises (et traités) dans un pays tiers s’il offre un niveau de protection adéquat. C’est le cas pour les pays de UE et la Suisse. Dans les autres cas, des garanties supplémentaires sont nécessaires. Elles peuvent prendre la forme de clauses contractuelles (entre l’exportateur et l’importateur), parfois le consentement des personnes concernées, où encore l’adhésion au Safe Harbor.
Le Safe Harbor est un accord conclu entre l’UE et les USA qui prévoit un certain nombre de principes que les sociétés américaines qui choisissent de s’y soumettre s’engagent à respecter. Un contrôle est exercé par la FTC américaine. Le transfert de données vers ces sociétés était automatiquement considéré comme adéquat, alors qu’il ne l’est en principe pas vers les USA (en l’absence de garanties contractuelles spécifiques, consentement de la personne concernée, etc.).
La CJU a considéré premièrement que la Commission européenne ne pouvait pas retirer le pouvoir des autorités nationales de protection des données d’examiner la légalité d’un transfert international de données personnelles. Deuxièmement, elle retient que le cadre juridique actuel aux USA permet à l’Etat d’accéder de manière massive et indiscriminée aux données personnelles. Le Safe Harbor ne soustrait évidemment pas les entreprises américaines à leur devoir de respecter le cadre légal de leur pays.
Quelles conséquences ?
Le transfert de données sur la base de l’US-EU Safe Harbor n’est plus légal. Le Groupe de l’article 29 qui réunit les autorités européennes de protection des données a laissé un délai de grâce de trois mois aux législateurs et entreprises pour trouver une solution. Des garanties contractuelles (contrats-types notamment) peuvent toujours être utilisées.
La CJUE ne devait se prononcer que sur les questions qui lui étaient posées et qui concernaient la validité du Safe Harbor. Elle a cependant confirmé que c’est bien le cadre légal américain qui est problématique. Il n’est pourtant pas possible d’y déroger par contrat et à l’issue du délai de trois mois on peut s’attendre à ce que les autorités de protection des données interdisent tout transfert aux USA, indépendamment du cadre juridique choisi. Une telle solution n’est pratiquement pas envisageable et tant l’Europe que les USA ont intérêts à trouver un accord rapidement.
Et en Suisse ?
La Suisse a un accord séparé avec les USA et n’est pas membre de l’Union européenne. Elle n’est pas concernée par la décision de la CJUE et le US-Swiss Safe Harbor est toujours parfaitement valable. Le PFPDT a néanmoins déjà indiqué qu’un nouvel accord ne pourrait que être coordonné avec l’UE. Ainsi au regard du droit suisse le transfert demeure légal. Il pourrait cependant être interdit par un juge qui serait saisi d’une demande dans un cas d’espèce. Il n’y a guère de raisons pour qu’un tribunal suisse aboutisse à un raisonnement différent.
Le PFPDT pourrait aussi déclarer que le US-Swiss Safe Harbor n’offre pas un niveau de protection adéquat. Etant donné qu’il l’a lui-même signé (contrairement à l’UE où c’était la Commission et non les autorités nationales), cela semble plus délicat. De plus, autant que les raisons qui ont justifié la décision de la CJUE sont connues depuis plusieurs années et le PFPDT aurait aussi pu agir plus tôt.
Que faut-il faire ?
La situation est très incertaine. Les transferts depuis l’Europe ne peuvent plus être justifiés par le Safe Harbor et il convient de le remplacer par un accord contractuel. En Suisse cela n’est pas nécessaire.
Dans le cas de nouveaux transferts, on évitera de recourir au Safe Harbor. Finalement, les entreprises devraient vérifier sur quelles bases elles communiquent des données à l’étranger afin d’être en mesure de réagir rapidement en cas de modifications du cadre légal. C’est aussi l’occasion de s’assurer que les conditions de délégation du traitement sont bien réglées.
Même si le maître du fichier reste responsable du traitement, il serait particulièrement sévère de lui reprocher de s’être fié aux recommandations de l’autorité compétente. Dans tous les cas, une solution politique et pragmatique devra être apportée rapidement et il faut rester attentif aux évolutions à venir.
Voir également: Le Préposé s’écarte du Safe Harbor suisse
Laisser un commentaire