Quels sont les points essentiels de la décision de la Cour De Justice de l’Union Européenne ?

Ce mardi 6 octobre, dans une affaire opposant un citoyen irlandais à l’autorité de protection des données irlandaise (Schrems c. Irish Data Protection Commissionner), la Cour de Justice de l’Union Européenne (« CJUE ») a rendu un arrêt invalidant la décision de la Commission du 26 juillet 2000 qui avait considéré les principes du « Safe Harbor » comme assurant un niveau de protection adéquat des données personnelles dans le cadre des transferts de données personnelles des citoyens européens vers des destinataires situés aux Etats-Unis.

Concernant à l’origine la seule utilisation des données personnelles d'un utilisateur par Facebook, cet arrêt impacte désormais toutes les entreprises effectuant des transferts de données aux Etats-Unis.

- En effet, en invalidant le Safe Harbor, la CJUE annule toute possibilité pour les entreprises de se reposer sur le Safe Harbor pour leurs transferts de données aux Etats-Unis (ex: de salariés, clients, fournisseurs…) et leur impose, dès lors, de sécuriser lesdits transferts par des moyens alternatifs sous peine de se trouver, de fait, en infraction aux règles nationales applicables en matière de traitement de données personnelles.  

La Commission Européenne, qui avait de son côté anticipé cette décision en renégociant depuis maintenant plus d'un an l'accord du Safe Harbor, se réunit cette semaine à Bruxelles avec le Groupe de travail de l'Article 29 (lequel -- présidé par Mme Isabelle Falque-Pierrotin, Présidente de la CNIL -- regroupe l'ensemble des autorités locales de protection des données personnelles de l'Union Européenne, dont la CNIL en France) pour tenter d'apporter une réponse harmonisée, à travers des lignes directrices, pour aider les entreprises à se mettre en conformité.  

Dans un communiqué du 7 octobre, la CNIL a quant à elle annoncé qu’elle examine en ce moment même les conséquences « juridiques et opérationnelles » de l'arrêt sur l’ensemble des transferts intervenus dans le cadre du Safe Harbor et que, dans cette attente, toute demande d’autorisation de transfert serait examinée en « tenant compte » de l’inadéquation du Safe Harbor, ce qui devrait impliquer le rejet de toute déclaration  exclusivement basée sur le Safe Harbor.

  • Le jugement de la CJUE n'ayant prévu aucune période transitoire, il serait opportun que les lignes directrices de la Commission Européenne tiennent compte de cette situation afin de laisser aux entreprises le temps de régulariser leurs transferts.
  • Les moyens alternatifs susceptibles de justifier une protection adéquate en cas de transfert nécessitant pour la plupart une interaction avec la CNIL, il conviendrait également de prévoir un régime simplifié afin de gérer de manière rapide les procédures requises, sous peine de provoquer un important engorgement de la CNIL.

- En affirmant que la reconnaissance du Safe Harbor ne prive pas les autorités locales de leur pouvoir indépendant de contrôle du niveau de protection offert par les pays tiers y compris lorsque des décisions d'adéquation ont pourtant été prises par la Commission, la CJUE ouvre la voie à un réexamen par les autorités de protection locale du cadre juridique étranger de protection des données et donc à un risque de fragmentation des décisions qui seront prises si elles ne sont pas coordonnées. Risque sur lequel, travaillent actuellement la Commission Européenne et le Groupe 29.

En attendant les résultats des discussions entre la Commission et le Groupe de travail de l'Article 29, voici quelques conseils pour préparer la mise en conformité des transferts affectés par cette décision :

  1. Recenser au sein de l’entreprise / du groupe, les transferts sécurisés par le Safe Harbor, leur nombre, les entités concernées, le caractère stratégique des traitements concernés, etc., et réfléchir s'il y a lieu à mettre en place une stratégie unique pour l'ensemble des entités impactées en Europe, ou au contraire une stratégie « nationale » à chaque fois. 
  2. Attribuer à chaque traitement un degré de priorité et un niveau de risque en fonction de différents critères(notamment, le caractère représentatif du traitement pour l'activité de l'entreprise, la quantité de données concernées, la sensibilité du traitement eu égard à la population concernée etc.). En effet, le transfert des données de salariés peut susciter des questions de la part du comité d'entreprise. De même, les clients beaucoup plus informés que par le passé sur les problématiques de données personnelles peuvent également être sources de questionnement.
  3. Engager une réflexion interne sur les solutions de remédiation les plus appropriées, sur la base des résultats du recensement (ex. : conclusion de contrats de transferts basés sur les clauses type de la Commission, préparation de « BCR », sécurisation par le biais de consentements de la part des personnes concernées, relocalisation des données en Europe ou d'autres pays bénéficiant d'une décision  au titre de la protection adéquate…). Dans le cadre de cette réflexion, il conviendra de ne pas oublier de couvrir les transferts de données subséquents « onward transfers », effectués depuis une entité Safe Harbor aux Etats-Unis vers un sous-traitant (basé aux Etats-Unis ou ailleurs), dans la mesure où la décision invalide du même coup ces transferts subséquents.
  4. Identifier le support documentaire faisant référence au Safe Harbor qu'il va falloir modifier : déclarations / autorisations à la CNIL existantes ou en cours, chartes ou politiques de protection des données, notices d'information,  formulaires de consentement, clauses données personnelles dans les contrats, etc. Selon les modes alternatifs de transfert des données qui seront retenus, il conviendra d'amender ces différents documents en assurant une cohérence d'ensemble.
  5. Vérifier si vos prestataires tiers impactés par cette décision  proposent un contrat de transfert de données basées sur les clauses types de la Commission Européenne, ce qui est déjà le cas de plusieurs prestataires de services de Cloud. A défaut, il faut les contacter afin d’agir en concertation avec eux.
  6. Bien documenter les démarches que vous entreprendrezpour mettre les transferts de données en conformité, afin, le moment venu et en cas de contrôle, d'être en mesure de présenter aux autorités des éléments tangibles prouvant que les démarches nécessaires ont été, sinon complètement mises en œuvre, au moins entamées et qu'elles sont en cours.
  7. Veiller à revoir tout le dispositif « Safe Harbor » si votre entreprise dispose d'une entité aux Etats-Unis ayant adhéré aux principes du Safe Harbor.
  8. Mettre en place une stratégie de communication sur le message à fournir en particulier aux clients et salariés en veillant à ne pas trop s'avancer sur les solutions apportées tant que les lignes directrices de la Commission Européenne et du Groupe de travail du G29 n'auront pas été officialisées, tout en les rassurant sur le fait que l'invalidation du Safe Harbor n'implique en aucun cas une interdiction de transfert vers les Etats-Unis dès lors que des solutions alternatives largement reconnues par les autorités de protection des données conformément à la directive du 24 octobre 1995 et les législations européennes qui la transposent, sont mises en place.