Actualités

Publié le 20 octobre 2015 dans "Actualités"

La messe est dite : le Safe Harbor est mort !

La messe est dite : le Safe Harbor est mort ! Vivent les clauses contractuelles types ?

La Cour de justice de l’Union européenne (CJUE) vient de condamner sans appel le dispositif du Safe Harbor, laissant dans une certaine perplexité les nombreuses entreprises européennes (le plus souvent clientes) et américaines (le plus souvent fournisseurs) qui s’abritaient jusqu’alors sous le parapluie accueillant de ce dispositif pour transférer licitement des données personnelles vers les Etats-Unis.

Qu’est-ce (ou plutôt qu’était) le Safe Harbor ?

Pour mémoire, il est en principe interdit de transférer (ou même simplement de donner accès à) des données personnelles hors de l’Espace économique européen (EEE), sauf :

  • (i) si le responsable du traitement européen a obtenu l’accord de l’autorité locale de contrôle dont il relève (la CNIL en France), sur la base de garanties pouvant résulter de la signature avec le destinataire des fameuses « clauses contractuelles types » émises par la Commission européenne ou des non moins fameuses « Binding Corporate Rules » ou « règles internes d’entreprise » régissant par la voie contractuelle l’encadrement du transfert des données hors de notre bulle européenne ;
  • (ii) ou avec le consentement de la personne dont les données sont transférées ;
  • (iii) ou si le transfert est nécessaire pour réaliser certaines objectifs, dont nous ne mentionnerons ici que quelques exemples pour mémoire tant le recours à ces exceptions est interprété de manière restrictive par les autorités nationales de contrôle, notamment la CNIL. Tel est ainsi le cas si le transfert est par exemple indispensable à sauvegarder la vie de la personne concernée ou encore à l’exécution d’un contrat entre le responsable du traitement et l’intéressé ;
  • (iv) ou si le transfert a lieu vers un pays dont la législation a été reconnue adéquate par la Commission européenne. C’est dans cette dernière catégorie que rentrait jusqu’au 6 octobre 2015 le Safe Harbor, qui avait bénéficié d’un blanc-seing assez bienveillant de la Commission européenne le 26 juillet 2000 (Décision 2000/520/CE). Les entreprises américaines ayant adhéré à ce système d’auto-certification assez peu contraignant dans sa réalité opérationnelle, il faut bien l’avouer, ont ainsi bénéficié pendant quelques années d’une certaine souplesse qui leur a permis de travailler plus facilement avec leurs clients européens, notamment en hébergeant des données personnelles en provenance de l’EEE.

La décision d’invalider le Safe Harbor

Ceci était sans compter sur les révélations faites par Monsieur Snowden sur le système de surveillance massif de nos données par les Etats-Unis. Fin 2013, la Commission européenne avait conclu que « l’accès à grande échelle des agences de renseignement aux données que des entreprises certifiées au titre de la sphère de sécurité [le Safe Harbor] aux Etats-Unis soulève de graves questions sur la continuité de la sauvegarde des droits des citoyens européens » (COM(2013) 847 Final).

La décision de la CJUE tire donc les conséquences de ces constatations en invalidant purement et simplement la décision d’adéquation qui avait été rendue au bénéfice des entreprises américaines qui s’étaient soumises au dispositif du Safe Harbor (CJUE, 6 octobre 2015, aff. C-362/14, Maximillian Schrems).

Et maintenant ?

La Cour n’a pas fait usage de la possibilité de limiter aux seules situations futures les effets de sa décision d’invalidité. Il y a donc lieu de considérer que l’ensemble des transferts couverts par le Safe Harbor, y compris ceux régulièrement mis en œuvre avant cette décision, ne sont pas licites. Exit donc le Safe Harbor (en tous cas en attendant son hypothétique renégociation annoncée par Bruxelles le jour de l’annonce de cet arrêt) !

Et quand l’on connaît la réticence des autorités nationales de contrôle, et tout particulièrement de la CNIL, à valider les transferts pour lesquels le responsable du traitement s’appuie sur les autres exceptions au principe d’interdiction de transfert, il ne reste pas vraiment d’autre solution aux entreprises concernées que de se soumettre aux fourches caudines de CNIL après signature des clauses contractuelles types (ou, pour celles pour lesquelles un tel investissement se justifie, après adoption de Binding Corporate Rules).
Du moins en attendant que la CJUE invalide également les clauses contractuelles types dont tout le monde sait qu’elles ne sont pas toujours effectivement respectées…

Reste que, suite à la décision de la CJUE, la CNIL et ses homologues du groupe de travail dit « Article 29 » (coordination des autorités de contrôles des Etats membres de l’Union européenne) ont indiqué qu’ils allaient prochainement se rencontrer afin d’arrêter une position coordonnées sur les conséquences de cette décision sur les transferts de données vers les Etats-Unis. Ce qui pourrait être interprété comme une invitation à ne pas se ruer sur les clauses contractuelles types !