Ce site utilise des cookies pour analyser le trafic et améliorer votre expérience. Nous vous invitons à consulter notre politique de protection de la vie privée pour en savoir plus Je suis d'accord

Le Safe Harbor est mort, vive le Privacy Shield !

photo © Shutterstock

Après de très nombreux rebondissements, le dossier concernant l’annulation de l’accord dit de « Safe Harbor » par la Cour de Justice Européenne (que nous avons traité ici) a connu un dénouement provisoire.

Suite au jugement rendu par la Cour dans l’arrêt Schrems C/ Facebook, le groupe de travail « article 29 », qui réunit les différentes « CNIL*» européennes, avait donné à la commission européenne un délai de trois mois avant d’entreprendre des poursuites à l’encontre des entreprises qui transféraient des données vers les Etats-Unis en se fondant sur l’accord de Safe Harbor.

Ce délai expirait le 1 février 2016, soit peu avant la réunion des membres du groupe de travail « article 29 » qui devait se prononcer sur les mécanismes alternatifs pouvant servir de base aux transferts de données vers les Etats-Unis.

Un projet d’accord baptisé « Privacy Shield »
Au terme d’un véritable psychodrame, la commissaires Vera Jourova a annoncé le 2 février 2016 que les Etats-Unis étaient arrivés à un accord sur un nouveau cadre pour l’échange de données baptisé « Privacy shield » (bouclier de sécurité). En réalité, il s’agit plutôt d’un engagement sur la recherche d’un accord puisque les parties se donnent trois mois pour le rédiger. Le projet d’accord prévoit, en gros, les mêmes règles que le précédent accord en l’assortissant de mécanismes censés permettre à des citoyens d’obtenir l’accès à la justice américaine pour contester l’accès à certaines données. 

Le groupe de travail « Article 29 » répond
Dès l’annonce de cet accord, plusieurs voix se sont déjà élevées pour en questionner la validité. En particulier, le groupe de travail « article 29 » qui souhaite recevoir plus d’informations sur le projet d’accord en vue d’en examiner la validité au regard notamment de la jurisprudence Schrems.

Retrouvez le texte officiel ici

En résumé, il établit que les entreprises qui fondent leurs transferts vers les USA sur l’accord de « Safe Harbor » restent aujourd’hui dans l’illégalité. La légalité des autres instruments (clauses standardisées, accord individuel…) est toujours soumise à examen. Dès lors, le groupe de travail  « article 29 » s’est engagé à ne pas lancer de poursuites pro activement à l’égard des entreprises  transférant des données aux USA jusqu’à ce qu'il puisse se prononcer sur la validité du nouvel accord « Privacy shield ».

Qu’en est-il du transfert des données de l’UE vers les EU ?
Le temps que le groupe de travail se prononce, les entreprises qui souhaiteraient transférer des données aux USA bénéficient a priori d’un répit de quelques semaines. D’ailleurs, les grands acteurs américains s’en étaient immédiatement félicités sur les réseaux sociaux. Mais le diable se cache dans les détails. Le groupe de travail dit, expressément, que durant ce délai, il se saisira des plaintes introduites et les gèrera au cas par cas. Cela signifie que si un particulier ou un concurrent estime qu’un transfert de données est réalisé sur la seule base de l’accord de Safe Harbor, toujours frappé de nullité, se tourne vers la CNIL, celle-ci pourra prendre des sanctions.

La sécurité juridique recherchée par les entreprises ne tient donc qu’à un fil…

Quelle solution s’offre aux entreprises ? 
A nouveau, la voie la moins risquée consiste à se tourner vers les fournisseurs européens pour le traitement de données de consommateurs européens sur le sol européen. Du reste, on voit que d’importants acteurs américains ont aujourd’hui pris la mesure du problème et on décidé de transférer leurs centres de données en Europe afin d’éviter l’interdiction des transferts de données.

Vous souhaitez plus d'info? Contactez-nous!