Safe Harbor : le G29 donne trois mois pour agir.

A la suite de la décision de la CJUE invalidant le Safe Harbor, la CNIL et ses homologues européens (le G29) se sont réunis pour en analyser les conséquences.

Pour mémoire, le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a jugé que la décision de la Commission 2000/52 du 26 juillet 2000 reconnaissant les Etats-Unis comme « sphère de sécurité » en cas de transfert de données personnelles était invalide. Elle juge que ces transferts doivent être suspendus comme ne répondant pas aux exigences de garantie de protection adéquate requis par la directive européenne n°95/06/EC, à la suite d’une question préjudicielle de la High Court irlandaise dans une affaire initiée par un utilisateur de Facebook se plaignant du transfert de ses données vers les serveurs américains. Le transfert de données personnelles à partir de l’Europe vers les Etats-Unis basée sur l’équivalence de protection du fait de l’adhésion de la société américaine au Safe Harbor ne sera plus possible à ce stade. 

Du fait de l’incertitude actuelle, le G29 demande aux Etats Membres et aux institutions européennes d’engager au plus vite des discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers les Etats Unis tout en respectant les impératifs imposés par la réglementation européenne.

En attendant, le G29 estime que les autres outils de transfert (Binding Corporate Rules ou clauses contractuelles types) peuvent encore être utilisés. Le Groupe confirme que les transferts qui s’opéreraient aujourd’hui sur la base du Safe Harbor de 2000 sont illégaux.

Emmanuelle Behr
Associée, Redlink