Remise en cause du principe de liberté de transfert des données personnelles aux Etats-Unis.
Le point avec Maitre Juliette de Chavane de Dalmassy, Avocate du département Propriété Industrielle et Nouvelles Technologies - Cabinet Cornet Vincent Segurel
Dans un communiqué de Presse du 7 octobre, la CNIL annonçait qu'elle devait se réunir avec ses homologues du groupe de l'article 29 afin de déterminer précisément les conséquences juridiques et opérationnelles de l'arrêt du 6 octobre 2015 sur l'ensemble des transferts intervenus dans le cadre du « safe harbor ». Par un arrêt du 6 octobre 2015 (affaire C-362/14), la Cour de Justice de l’UE a annulé la décision de la commission européenne 2000/520 du 26 juillet 2000 qui reconnaissait le niveau de protection suffisant des entreprises américaines ayant adhéré au Safe Harbor et consacrait ainsi le principe de libre transfert des données à caractère personnel depuis les pays membres de l’UE vers les Etats-Unis.
La CJUE a donc déclaré que les Etats Unis n'assuraient plus un niveau de protection suffisant des données à caractère personnel en invalidant le mécanisme du Safe Harbor, ensemble de règles juridiques instaurées par le Département du Commerce des États-Unis, en concertation avec la Commission européenne, afin de permettre aux entreprises et organisations américaines de se conformer à la Directive européenne. Cela remet en cause le principe de liberté de transfert des données personnelles aux Etats-Unis.
Mais cela signifie-t-il que tous les transferts de données à caractère personnel vers les Etats-Unis sont interdits ? La réponse est certainement négative. Mais, depuis le 6 octobre 2015, les autorités de protection des données doivent examiner la validité des transferts aux Etats-Unis qui leur sont soumis, en tenant compte du fait que la protection des données n'est pas suffisante.
Il apparait désormais nécessaire pour les prochains transferts de données, en B to B, de signer des Clauses Contractuelles Types adoptées par la Commission européenne (de responsable à responsable ou de responsable à sous-traitant) ou encore d'adopter dans les transferts intra-groupe des Règles internes d'entreprise (ou BCR) qui constituent un code de conduite en matière de transferts de données personnelles depuis l’UE vers des pays tiers. La question est plus délicate pour les transferts déjà réalisés, la signature de clauses contractuelles types pourrait s'avérer nécessaire.
Lectures du moment, tribunes d'experts, management et entrepreneuriat...
Comprendre l'économie durable pour s'y investir