Après la décision de la Cour de Justice de l’Union européenne (CJUE) invalidant l’accord dit Safe Harbor, le groupe des CNIL européennes (G29) demande aux autorités européennes et américaines d’agir sous trois mois pour trouver des « solutions techniques et juridiques » qui permettent le transfert de données de l’Union européenne vers les États-Unis, « dans le respect des droits fondamentaux ».
« De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord Safe Harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques », explique le G29.
Considérant que le niveau adéquat de protection des données personnelles n’est pas assuré, la Cour de Justice de l’Union européenne a invalidé, le 6 octobre 2015, l’accord dit Safe Harbor du 26 juillet 2000. Cette décision de justice concerne plus de 4000 entreprises américaines qui adhèrent volontairement au Safe Harbor, ainsi que les entreprises européennes qui leur transmettent des données. Pour la Commission nationale de l’informatique et des libertés (CNIL), il ne s’agit pas d’un « vide », mais d’une « question juridique » sur la base légale des transferts de données vers les États-Unis. Aujourd’hui, il revient aux régulateurs nationaux en charge de la protection des données d’informer les parties prenantes et de fournir plus de « lisibilité » aux entreprises sur ce dossier.
Les institutions européennes et les États membres devront donc trouver, avec les autorités américaines, une solution « satisfaisante » avant le 31 janvier 2016. Faute de quoi, les régulateurs du G29 « s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En attendant, les autres outils encadrant les tranferts – les clauses contractuelles types et les règles internes d’entreprise (BCR ou Binding Corporate Rules) – peuvent être utilisées par les entreprises. Mais « les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir », précise le G29.
Dans une récente tribune, l’avocat François Coupez, associé au cabinet ATIPIC, indiquait que l’adoption très probable d’ici la fin de l’année du règlement européen sur la protection des données « pourrait limiter la nécessité à moyen terme d’un Safe Harbor 2 ».
Lire aussi :
Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ? (tribune)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…