Que faire après l’invalidation du dispositif du Safe Harbor ? Quels mécanismes pour concilier transfert et protection des données à caractère personnel en dehors de l’Union européenne ?
“The trouble with Harry is that he's dead, and everyone seems to have a different idea of what needs to be done with his body… ” (1)
Quinze ans après son adoption, le dispositif du Safe Harbor est invalidé par la Cour de justice de l’Union européenne (CJUE) dans un jugement rendu le 6 octobre 2015 (2). Cette décision – qui n’est pas en soi une surprise (3) - entraîne, outre la consternation des acteurs économiques, une révolution dans l’appréciation des mécanismes permettant le transfert de données à caractère personnel en dehors de l’Union européenne.
Elle peut conduire, si aucune solution praticable n’est envisagée rapidement, à une situation de blocage, qui ne sera pas sans rappeler celle qui a précédé l’adoption des accords de Safe Harbor en 2000 (4).
Pays "non adéquats"
Il n’est pas inintéressant de rappeler que c’est face à la crainte d’un blocage des flux de données vers les États-Unis que le dispositif du Safe Harbor a été adopté en 2000, en conséquence du principe d’interdiction des transferts vers des pays "non adéquats" contenu dans la directive relative à la protection des données personnelles adoptée en 1995 (5). L’adoption du Safe Harbor s’est faite à l’issue de longs débats marqués par une défiance réciproque. Côté américain, le niveau d’exigence des règles était considéré trop élevé, et côté européen l’accord devait faire face à une hostilité certaine du Groupe de l’article 29 (6), ainsi que du Parlement européen (7). L’accord a d’ailleurs été adopté contre l’avis de ce dernier, qui le considérait comme insuffisant, en raison notamment de l’absence de recours devant une autorité publique et de garantie en ce qui concerne la réparation des dommages subis par un particulier.
Comme en écho à cette période d’incertitude, la conséquence immédiate du jugement de la CJUE est de priver de base légale les transferts de données opérés vers les États-Unis sur le fondement du Safe Harbor. Les entreprises transférant des données vers les États-Unis sur la base du Safe Harbor devraient ainsi se tourner vers d’autres mécanismes prévus par la directive de 1995, à savoir la conclusion de contrats de transfert reposant sur les clauses-types de la Commission européenne ou l’adoption de règles internes d’entreprise ou binding corporate rules (BCR) (8).
Si une telle perspective inquiète les entreprises – à juste raison compte tenu des délais de mise en œuvre (9) et du manque de souplesse (10) - une autre perspective pourrait, elle, les laisser totalement démunies.
Motifs externes à l’accord
En effet, l’accord de Safe Harbor a été invalidé par la CJUE pour des motifs pouvant être considérés comme
externes à l’accord lui-même. Les griefs relevés par la Cour se rapportent en effet, d’une part, à l’utilisation faite par les autorités américaines des dérogations prévues dans l’accord de Safe Harbor – qui écartent l’application des principes de protection en cas d’accès pour des besoins de sécurité nationale ou d’intérêt public (11) - et, d’autre part, à l’absence de moyens de recours adaptés dans l’accord pour les citoyens de l’Union européenne, faisant de l’accès par les autorités américaines aux données transférées sous couvert du Safe Harbor une ingérence disproportionnée au droit fondamental à la protection des données personnelles tel que garanti par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.
Or ces griefs pourraient être considérés comme non spécifiques au Safe Harbor dans la mesure où des insuffisances similaires pourraient être soulevées à l’encontre des mécanismes alternatifs envisagés dans la directive (12). La conséquence immédiate du jugement est donc de créer un décalage entre la réalité économique et les règles applicables en matière de protection des données, sans perspective de solution – juridique – tout à fait sécurisante à court ou moyen terme (13).
La conciliation des règles relatives à la protection des données et l’accès à ces mêmes données par les services secrets est en fait l’un des points de focalisation du dialogue transatlantique et il ne paraît pas qu’il puisse être résolu uniquement par des dispositions juridiques, sans mettre en échec ces mêmes mécanismes juridiques, quels qu’ils soient. Aussi, même si la position des autorités européennes de protection des données est fort attendue, l’on attend encore plus l’issue des discussions devant aboutir à la révision de l’accord du Safe Harbor engagées avec les États-Unis depuis déjà plus de deux ans (14) et qui devra être en phase avec les règles prévues dans le futur règlement relatif à la protection des données (15).
Nathalie Métallinos
Avocate à la Cour, responsable de l’atelier protection des données personnelles de l’Adij, chargée d’enseignement à l’Université Paris-Sud.
(1) “Le problème avec Harry, c’est qu’il est mort et que chacun semble avoir une idée différente de ce qui doit être fait avec son corps… » : synopsis du film Alfred Hitchcock, The Trouble with Harry, 1955, cité par Bert-Jaap Koops, professeur à l’université Tilburg des Pays-Bas, qui interpelle dans un article l’adéquation des règles relatives à la protection des données personnelles in « The trouble with European data protection law », International Data Privacy law, (2014) 4 (4): 250-261 doi:10.1093/idpl/ipu023 .
(2) CJUE, 6 octobre 2015, aff. C-362/14, Maximilian Schrems c. Data protection Commissioner.
(3) Le dispositif a notamment été remis en cause suite aux révélations de l’ampleur de la surveillance opérée par les services de renseignement américains. Le Parlement européen a ainsi adopté une résolution le 23 mars 2014 appelant à la suspension de l’accord. Dès 2010, les autorités allemandes de protection des données réunies avaient publié un communiqué aux termes duquel elles considéraient que les entreprises allemandes ne pouvaient plus reposer uniquement sur le dispositif du Safe Harbor pour considérer que le transfert était entouré de garanties adéquates.
(4) Décision 520/2000/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la "sphère de sécurité" et par les questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d'Amérique.
(5) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(6) Ce groupe a été instauré par l’article 29 de la directive 95/46/CE et rassemble les autorités européennes de protection des données européennes.
(7) V. sur l’historique A. Debet, J. Massot, N. Métallinos, Informatique et libertés, la protection des données à caractère personnel en droit français et européen, Lextenso, 2015, n° 1696 et s.
(8) D’autres solutions sont prévues, mais elles sont, à ce jour, interprétées strictement par la Cnil qui les réserve aux transferts ponctuels et non massifs.
(9) Rappelons de plus qu’en France, le transfert de données en dehors de l’Union européenne, lorsqu’il repose sur des mécanismes contractuels ou des BCR, doit être formellement autorisé par la Cnil. Concernant l’option de recourir à des BCR, elle n’est possible que pour des entreprises les ayant déjà mises en place. Pour les autres, elle n’est envisageable qu’à moyen, voire long terme.
(10) Les clauses-types doivent être signées pour chaque nouveau transfert ou catégorie de transfert.
(11) Si ce type de dérogation n’est pas exorbitant dans son principe, sa formulation dans l’accord de Safe Harbor est trop large et permet ainsi un accès non limité à ce qui est strictement nécessaire.
(12) Dans son communiqué du 7 octobre 2015, la Cnil indiquait que suite à la décision de la CJUE, « les autorités de protection des données devront examiner la validité des transferts qui leur sont soumis, en tenant compte du fait que la situation américaine n’est pas "adéquate" » :
(13) Sauf à considérer que le rapatriement des données au sein de l’Union européenne – c’est-à-dire une forme de repli économique – puisse être une option réaliste.
(14) « Communication de la Commission au Parlement européen et au Conseil relative au fonctionnement de la Sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire », COM(2013)847, 27 novembre 2013, et « Rétablir la confiance dans les flux de données entre l’Union européenne et les États-Unis d’Amérique », 27 novembre 2013, COM(2013)846 final.
(15) Voir N. Métallinos, « Données à caractère personnel : la réforme du cadre européen », Archimag, n°253, avril 2012, pp. 38-39.
![dpo-donnees-personnelles-evolutions-afcdp-paul-olivier-gibert](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/paul-olivier_gibert_afcdp_2024-evolution-dpo-protection-donnees-personnelles.jpg?itok=KfshogP2 ""En vingt ans, les enjeux de la protection des données personnelles se sont accrus", explique Paul-Olivier Gibert, président de l'AFCDP. (AFCDP)")
