Safe harbor : le G29 demande aux institutions européennes et aux gouvernements d’agir sous 3 mois
RSS CNIL - , 16/10/2015
La CNIL et ses homologues européens (G29) se sont réunis le 15 octobre pour analyser les conséquences de la décision de la Cour de Justice de l’Union européenne du 6 octobre 2015 invalidant le safe harbor. Elles ont adopté une approche commune sur la question, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.
En premier lieu, le G29 souligne que la question de la surveillance massive et indiscriminée est au cœur de l’arrêt de la CJUE invalidant la décision de safe harbor du 26 juillet 2000. Il rappelle à ce titre qu’il a toujours considéré qu’une telle surveillance était incompatible avec le cadre juridique européen et que les outils de transferts ne pouvaient constituer une solution à ce problème. Par ailleurs et comme le G29 l’a déjà indiqué, les pays tiers (en dehors de l’Union Européenne) dans lesquels des autorités publiques accèdent aux informations personnelles, ne peuvent être considérés comme des destinations sûres dans le cadre de transferts. A cet égard, la décision de la CJUE implique que chaque décision d’adéquation résulte d’une analyse approfondie des lois nationales du pays tiers ainsi que des accords internationaux.
Par conséquent, le G29 demande aux Etats membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux. De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord safe harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits des personnes.
En parallèle, le G29 poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) mais considère que durant cette période, ces outils peuvent encore être utilisés par les entreprises. Les autorités de protection des données se réservent néanmoins la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.
Si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 et en fonction de l’évaluation en cours des outils de transferts par le G29, les autorités s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.
Au regard de la décision de la CJUE, il apparait très clairement que les transferts de données depuis l’Union Européenne vers les Etats-Unis ne sont plus possibles sur la base de la décision de safe harbor du 26 juillet 2000. En tout état de cause, les transferts qui s’opèreraient encore sur cette base juridique sont illégaux.
Afin d’informer l’ensemble des parties prenantes, les autorités de protection des données européennes vont lancer des campagnes d’information au niveau national, comprenant une information ciblée auprès des entreprises ayant déjà réalisé des transferts sur la base du safe harbor et une information générale sur les sites des autorités.
Enfin, le G29 tient à insister sur les responsabilités partagées des autorités de protection, des institutions européennes, des Etats membres et des entreprises pour élaborer des solutions robustes. Dans ce contexte, les entreprises doivent en particulier mettre en œuvre des solutions juridiques et techniques pour limiter les risques éventuels qu’elles prennent en transférant des données à l’étranger, quant au respect des droits fondamentaux des personnes.