L’invalidation du Safe Harbor

Depuis 1995, la réglementation européenne sur les données à caractère personnel interdit le transfert de ces données depuis un Etat Membre de l’UE vers un pays qui n’assure pas un niveau de protection suffisant au regard des principes applicables dans l’UE.

Pour permettre les transferts de données à caractère personnel vers les Etats-Unis – pays considéré comme n’assurant pas un niveau suffisant de protection de ces données – la Commission européenne avait adopté en 2000 le dispositif du Safe Harbor.

Mais à la suite des révélations sur les interceptions massives de données pratiquées par les services de renseignements américains, la Cour de justice de l’Union européenne (CJUE) a constaté en 2015 que le Safe Harbor ne contenait pas de protections suffisantes eu égard aux pouvoirs des services de renseignement américains, et a invalidé ce mécanisme de transfert.

Après de longues tractations, la Commission européenne et le Département du commerce américain se sont accordés sur un mécanisme de remplacement du Safe Harbor : le Privacy Shield.

Le Privacy Shield, nouveau cadre privilégié pour les transferts vers les Etats-Unis ?

Comme son prédécesseur, le Privacy Shield est un ensemble de principes que les entreprises américaines peuvent s’engager à respecter en s’inscrivant sur une liste tenue par le Département du commerce. Les entreprises s’y conformant sont considérées comme protégeant suffisamment les données personnelles au regard des règles européennes.

Par rapport au Safe Harbor, le Privacy Shield impose aux entreprises des obligations renforcées en termes de principes de traitement des données, d’information des personnes concernées sur les principes de traitement qu’elles appliquent, et d’exigences pour conclure des contrats permettant les transferts ultérieurs des données. Il crée une supervision plus étroite et les personnes concernées disposent de mécanismes de recours plus étendus en cas de non-respect des principes du Privacy Shield.

Un point important du Privacy Shield est qu’il fera l’objet d’une réévaluation annuelle pour s’assurer qu’il reste suffisamment protecteur des données transmises. Les autorités de protection des données de l’UE ont précisé qu’elles attendraient un an avant de tester la conformité juridique du Privacy Shield.

Impact sur les autres mécanismes de transfert

Avant l’avènement du Privacy Shield, il existait d’autres mécanismes juridiques que le Safe Harbor pour effectuer des transferts de données personnelles hors de l’UE. D’une part, des clauses contractuelles types, qui sont des contrats types adoptés par la Commission européenne permettant d’assurer par voie contractuelle un niveau de protection suffisant pour les données transmises hors de l’UE. D’autre part, les règles d’entreprise contraignantes (BCR) qui, après approbation officielle, permettent d’effectuer des transferts internationaux de données au sein d’un même groupe de sociétés.

Ces mécanismes n’ont pas été immédiatement affectés par la fin du Safe Harbor. D’ailleurs, après cette invalidation, bon nombre d’entreprises américaines ont mis en place des clauses contractuelles types –plus faciles à mettre en œuvre que les BCR.

Pourtant, la question fondamentale soulevée lors de l’annulation du Safe Harbor – à savoir quelles garanties mettre en œuvre en cas de transfert vers les Etats-Unis pour éviter un traitement massif et systématique par les services de renseignement – se pose aujourd’hui aussi pour les clauses contractuelles types. La CJUE doit ainsi se prononcer prochainement sur le caractère suffisant de la protection actuellement assurée par les clauses types. Et il est très probable qu’une nouvelle version de ces clauses sera bientôt établie pour les renforcer.

Stratégie juridique

Dans ce contexte, quelle stratégie d’entreprise adopter aujourd’hui pour encadrer des transferts internationaux de données à caractère personnel vers un pays hors de l’UE ?

Pour des transferts de données vers les Etats-Unis, le Privacy Shield est opérationnel. Mais pour les entreprises américaines – dont la plupart ont adopté des clauses types après la fin du Safe Harbor – il ne semble pas indispensable d’adopter immédiatement le Privacy Shield tant que les clauses types actuelles sont considérées comme satisfaisantes. Bien sûr, en France et dans l’attente de l’entrée en vigueur en 2018 du Règlement général sur la protection des données (RGPD), le Privacy Shield permet de simplifier les formalités à réaliser auprès de la CNIL pour les transferts vers les USA. Mais cet avantage ne contrebalance pas l’effort de mise en conformité requis par le Privacy Shield.

Dans un contexte où la plupart des transferts internationaux reposent sur les clauses types et les BCR restent l’apanage des grands groupes de sociétés, une ruée vers le Privacy Shield ne semble donc pas évidente. Cependant, cela pourrait évoluer si les clauses contractuelles types venaient elles aussi à être invalidées par la CJUE.

Une chose est sûre : avec les lourdes sanctions– jusqu’à 1,5 million d’euros au titre du code pénal, 3 millions d’euros au titre de la loi de 1978 modifiée par la loi pour une République numérique, et 20 millions d’euros et 4% du chiffre d’affaires mondial de l’entreprise au titre du RGPD – prévues en cas de mise en œuvre de transferts internationaux de données sans respecter les exigences légales, il est indispensable pour les entreprises de s’assurer que leurs transferts de données sont correctement encadrés d’un point de vue juridique.

Cet article reflète uniquement l’opinion de son auteur et ne saurait être attribué au cabinet Jones Day ou à l’un de ses clients, actuels ou futurs