14 octobre 2015
Par une décision en date du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’Union européenne a conclu à l’invalidité de la décision « Safe Harbor » de la Commission européenne du 26 juillet 2000 permettant de procéder à des flux transfrontaliers de données entre l’Europe et les Etats-Unis dès lors que les sociétés récipiendaires adhéraient aux principes dudit accord, par auto-certification, auprès du département du Commerce américain.
Suite à une plainte déposée par un utilisateur de Facebook s’opposant au transfert de ses données vers les États-Unis suite aux révélations faites en 2013 au sujet de l’accès aux données par les services de renseignement des Etats-Unis, la High Court of Ireland a saisi la Cour de Justice de l’Union européenne d’une question préjudicielle.
Le 6 octobre dernier, la CJUE a conclu à l’invalidité de la décision « Safe Harbor » considérant que la Commission n’a pas fait état dans sa décision du 26 juillet 2000, de ce que les Etats-Unis assurent un niveau de protection adéquat en raison de leur législation interne ou de leurs engagements internationaux.
Les autorités nationales de contrôle devront donc examiner les transferts de données vers les Etats-Unis en prenant en compte le fait que les Etats-Unis n’offrent pas une protection adéquate des données à caractère personnel.
La CNIL a très vite réagi à la décision en précisant sur son site internet qu’il n’est désormais plus possible de réaliser un transfert de données vers les Etats-Unis sur la base du Safe Harbor. Elle indique également dans son communiqué de presse qu’elle entend rencontrer ses homologues au sein du G29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du Safe Harbor.
De nombreux opérateurs économiques sont concernés. En effet, l’accord Safe Harbor est l’un des instruments juridiques les plus utilisés par les entreprises européennes souhaitant transférer des données vers les Etats-Unis. Plusieurs solutions pourront être envisagées et notamment la mise en place de clauses contractuelles types ou encore de Binding Corporate Rules (BCR : Règles internes d’entreprise).