Pour gérer vos consentements :

Safe Harbor : l’ultimatum des CNIL européennes

Après la décision de la Cour de Justice de l’Union européenne (CJUE) invalidant l’accord dit Safe Harbor, le groupe des CNIL européennes (G29) demande aux autorités européennes et américaines d’agir sous trois mois pour trouver des « solutions techniques et juridiques » qui permettent le transfert de données de l’Union européenne vers les États-Unis, « dans le respect des droits fondamentaux ».

« De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord Safe Harbor pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s’appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques », explique le G29.

En finir avec le flou juridique

Considérant que le niveau adéquat de protection des données personnelles n’est pas assuré, la Cour de Justice de l’Union européenne a invalidé, le 6 octobre 2015, l’accord dit Safe Harbor du 26 juillet 2000. Cette décision de justice concerne plus de 4000 entreprises américaines qui adhèrent volontairement au Safe Harbor, ainsi que les entreprises européennes qui leur transmettent des données. Pour la Commission nationale de l’informatique et des libertés (CNIL), il ne s’agit pas d’un « vide », mais d’une « question juridique » sur la base légale des transferts de données vers les États-Unis. Aujourd’hui, il revient aux régulateurs nationaux en charge de la protection des données d’informer les parties prenantes et de fournir plus de « lisibilité » aux entreprises sur ce dossier.

Une solution attendue pour janvier 2016

Les institutions européennes et les États membres devront donc trouver, avec les autorités américaines, une solution « satisfaisante » avant le 31 janvier 2016. Faute de quoi, les régulateurs du G29 « s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées ». En attendant, les autres outils encadrant les tranferts – les clauses contractuelles types et les règles internes d’entreprise (BCR ou Binding Corporate Rules) – peuvent être utilisées par les entreprises. Mais « les autorités de protection des données se réservent la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir », précise le G29.

Dans une récente tribune, l’avocat François Coupez, associé au cabinet ATIPIC, indiquait que l’adoption très probable d’ici la fin de l’année du règlement européen sur la protection des données « pourrait limiter la nécessité à moyen terme d’un Safe Harbor 2 ».

Lire aussi :

Fin du Safe Harbor : quel avenir pour les flux de données vers les États-Unis ? (tribune)

crédit photo © rommma – shutterstock.com

Recent Posts

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

17 heures ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

20 heures ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

22 heures ago

Accord Microsoft-CISPE : comment Google a tenté la dissuasion

Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…

22 heures ago

Vers des mises à jour cumulatives intermédiaires pour Windows

Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…

23 heures ago

RH, finances, stratégie… Les complexités de la Dinum

De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…

2 jours ago