Quelles sont les conséquences de l’invalidation du Safe Harbor pour les entreprises européennes ?
Publié le :
06/11/2015
06
novembre
nov.
11
2015
Par un arrêt du 6 octobre 2015, la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’Union Européenne vers les Etats-Unis.L’arrêt rendu par la CJUE
Par un arrêt du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’Union Européenne vers les Etats-Unis.
Monsieur Schrems, autrichien, inquiet que la NSA et le FBI puissent avoir accès à ses données personnelles après leur transfert par Facebook Irlande aux Etats-Unis a saisi le commissaire européen à la protection des données. Après le rejet de sa plainte par le commissaire européen ce dernier a introduit un recours devant la Haute Cour de justice Irlandaise qui a jugé que « l’accès massif et indifférencié à des données à caractère personnel serait évidemment contraire au principe de proportionnalité et aux valeurs fondamentales protégées par la constitution irlandaise ». Par conséquent, la Cour irlandaise a estimé que la décision de la commission européenne 2000./520 n’était pas conforme aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne qui consacrent le droit au respect de la vie privée et familiale ainsi que le droit à la protection des données personnelles.
La légalité de cette décision devant être apprécié au regard du droit de l’Union Européenne, la Cour irlandaise a saisi la CJUE d’une question préjudicielle qui dans ce cadre a jugé que :
1. « la protection du droit fondamental au respect de la vie privée au niveau de l’union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire.»
2. « n’est pas limitée au strict nécessaire une règlementation qui autorise de manière généralisée la conservation de l’intégralité des données à caractère personnel de toutes les personnes dont les données ont été transférées depuis l’Union vers les États-Unis sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif poursuivi et sans que soit prévu un critère objectif permettant de délimiter l’accès des autorités publiques aux données et leur utilisation ultérieure à des fins précises, strictement restreintes et susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation de ces données.»
3. « une réglementation permettant aux autorités publiques d’accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée, tel que garanti par l’article 7 de la Charte. »
Les conséquences de principe de l’arrêt de la CJUE
La CJUE a donc déclaré que les Etats Unis n’assuraient plus un niveau de protection suffisant des données à caractère personnel en invalidant le mécanisme du Safe Harbor, ensemble de règles juridiques instaurées par le Département du Commerce des États-Unis, en concertation avec la Commission européenne, afin de permettre aux entreprises et organisations américaines de se conformer à la Directive européenne. Ce mécanisme permettait de transférer des données personnelles aux Etats-Unis conformément à l’article 68 de la loi Informatique et Libertés (loi n°78-17), qui prévoient que les transferts de données à caractère personnel vers un pays tiers à l’Union européenne sont, en principe, interdits, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles.
Par conséquent, tous les transferts qui s’opèreraient sur la base juridique du Safe Harbor sont désormais illégaux. Cela remet ainsi en cause le principe de liberté de transfert des données personnelles aux Etats-Unis.
Les conséquences opérationnelles de l’arrêt de la CJUE
A la suite de la décision de la CJUE, nous avons recommandé de procéder à la signature de Clauses Contractuelles Types adoptées par la Commission européenne (de responsable à responsable ou de responsable à sous-traitant) ou encore, dans les relations intra-groupe, d’adopter des Règles internes d’entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers.
Dans un communiqué de presse datant du 16 octobre 2015, la CNIL et ses homologues européens (le Groupe de l’Article 29) ont précisé qu’une réflexion était actuellement en cours s’agissant de la validité de ces autres outils de transfert (BCR, clauses contractuelles types) et ont ajouté que pendant cette période « ces outils peuvent encore être utilisés par les entreprises. »
Nous recommandons donc à toutes les entreprises réalisant des transferts de données à caractère personnel aux Etats-Unis de procéder à un audit de tous leurs traitements de données afin de recenser les transferts de données vers les USA sur la base du Safe Harbor et de signer dans les meilleurs délais des contrats de protection des données à caractère personnel.
Cet article n'engage que son auteur.
Crédit photo : © Andrzej Puchta - Fotolia.com
Auteur
CHAVANE DE DALMASSY Juliette
Historique
-
Responsabilité de l’employeur et obligation de sécurité
Publié le : 08/01/2016 08 janvier janv. 01 2016Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéDans un arrêt “Air France” du 25 novembre 2015, la chambre sociale de la Cour de Cassation redéfinit sa position relative à l’obligation de sécurité de résul...
-
La vérification de la situation sociale du sous-traitant étranger nécessite la remise par ce dernier du certificat A1 (ancien E101)
Publié le : 04/01/2016 04 janvier janv. 01 2016Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéDans deux arrêts d’Assemblée Plénière du 6 novembre 2015 la Cour de cassation est venue préciser quel document le donneur d’ordre doit se faire remettre par...
-
Complémentaire santé obligatoire: FAQ pour les employeurs: Comment mettre en place le nouveau régime ?
Publié le : 09/12/2015 09 décembre déc. 12 2015Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéAu 1er janvier 2016, l'employeur doit proposer aux salariés qui n’en bénéficient pas encore une couverture de santé complémentaire cofinancée. Nous av...
-
Complémentaire santé obligatoire : FAQ pour les employeurs: Que mettre en place ?
Publié le : 04/12/2015 04 décembre déc. 12 2015Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéAu 1er janvier 2016, l'employeur doit proposer aux salariés qui n’en bénéficient pas encore une couverture de santé complémentaire cofinancée. ♦ Sur q...
-
Quelles sont les conséquences de l’invalidation du Safe Harbor pour les entreprises européennes ?
Publié le : 06/11/2015 06 novembre nov. 11 2015Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéPar un arrêt du 6 octobre 2015, la Cour de Justice de l’Union Européenne a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui rec...
-
Ajout des matériels roulants affectés aux services librement organisés à la liste des matériels qui doivent être accessibles aux personnes handicapées
Publié le : 06/10/2015 06 octobre oct. 10 2015Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéLe décret du 22 septembre 2015 est pris dans le contexte de création par la loi pour la croissance, l'activité et l'égalité des chances économiques d'une cat...
-
L’équation impossible : droits de la défense de l’employeur et droit au respect du secret médical du salarié dans le contentieux prud’homal
Publié le : 25/09/2015 25 septembre sept. 09 2015Entreprises / Gestion de l'entreprise / Gestion des risques et sécuritéAux termes d’une décision rendue le 30 juin 2015, la Chambre sociale de la Cour de cassation juge que le fait pour l’employeur de verser aux débats, dans un...