LES FAITS
Par une décision en date du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a estimé que le traitement des données personnelles des ressortissants européens par les États-Unis n’offrait pas un niveau de protection suffisant, en raison notamment de l’accès massif et indifférencié des autorités publiques américaines à ces données.

L’INSUFFISANCE DE LA PROTECTION DES DONNÉES PAR LE SAFE HARBOR

Pour rappel, l’article 68 de la loi du 6 janvier 1978 modifié et le décret du 20 octobre 2005 interdisent par principe l’hébergement des données hors de l’Union européenne, à moins que le pays destinataire soit reconnu par la Commission européenne comme assurant un niveau de protection adéquat, à savoir un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes dont les données sont traitées. Par une décision du 26 juillet 2000, la Commission européenne avait ainsi considéré que les États-Unis assuraient une protection adéquate des données personnelles, et qualifiait ces principes de « Safe Harbor » ou « sphère de sécurité ».
Pour invalider la décision de la Commission européenne, la CJUE a considéré que les ressortissants européens ne bénéficiaient d’aucune possibilité d’accès, de rectification ou de suppression de leurs données personnelles lorsqu’elles sont collectées et traitées par les États-Unis dans le cadre de leur programme de surveillance. La CJUE a d’ailleurs estimé qu’une réglementation permettant aux autorités publiques d’accéder « de manière généralisée au contenu de communications électroniques » porte atteinte au droit fondamental au respect de la vie privée.
De surcroit, la CJUE a rappelé que les autorités en charge de la protection des données personnelles de chaque état membre sont compétentes pour contrôler le bon respect des règles du Safe Harbor par un responsable de traitement américain.

L’IMPACT DE LA DÉCISION DE LA CJUE

Les transferts de données depuis l’Union eu-opéenne vers les États-Unis sont en principe désormais interdits sur le fondement de la décision de 2000, en raison de son invalidation. Toutefois, l’article 26 de la directive 95/46/CE sur la protection des données personnelles prévoit la possibilité de transférer des données vers un pays tiers qui ne présente pas un niveau de protection adéquat, notamment si la personne concernée a « indubitablement donné son consentement au transfert envisagé » ou lorsque le transfert est « nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ». Loin de remettre en cause l’économie fondée sur le traitement des données personnelles, l’impact de la décision de la CJUE sera vraisemblablement limité par l’insertion de clauses contractuelles spécifiques par les entreprises américaines.
Dans un communiqué de presse du 16 octobre dernier, le groupe de travail G29 composé de l’ensemble des CNIL européennes, a donné un délai de trois mois aux États membres et aux institutions européennes pour s’entretenir avec les autorités américaines et trouver des solutions politiques, juridiques et techniques pour garantir la protection des transferts de données vers ce territoire. •

CE QU’IL FAUT RETENIR

Une nouvelle version du Safe Harbor devrait voir le jour. Il conviendra d’ici là d’être particulièrement attentif aux éventuelles modifications contractuelles portées par les responsables de traitements américains dans leurs CGV et CGU.