La guerre fait rage : après l’invalidation du Safe Harbor, les Clauses contractuelles types et Privacy Shield sont attaquées.

La réglementation européenne offre plusieurs outils pout protéger les données personnelles lorsqu’elles sont transférées ou partagées avec les personnes situées dans des pays n’offrant pas une protection équivalente à celle de l’UE. Pour les transferts répétitifs et concernant un grand nombre de personnes, il s’agit principalement :

- des clauses contractuelles types
- des règles contraignantes d’entreprise (BCR)
- pour les transferts les vers USA, la certification Privacy Shield des destinataires, cette certification étant venue remplacer celle du Safe Harbor. [1]

Or, depuis l’invalidation du Safe Habor par la CJUE le 6 octobre 2015 [2] deux autres actions sont en cours.

La question de la validité du Safe Harbor avait été examinée dans le cadre d’une action plus globale devant l’autorité Irlandaise de protection des données personnelles (« DPC – Data Protection Commissioner ») visant à contester la légalité du transfert de données vers les USA.
Suite à l’invalidation du Safe Harbor, l’autorité Irlandaise introduit une demande devant la Cour Suprême Irlandaise aux fins de déterminer la légalité des transferts vers les USA sur la base des clauses contractuelles types.

Voir le communiqué du DPC : https://www.dataprotection.ie/docs/28-9-2016-Explanatory-memo-on-litigation-involving-Facebook-and-Maximilian-Schrems/1598.htm

La Cour Suprême Irlandaise devrait examiner cette question d’ici au printemps 2017.

L’association Digital Rights Ireland conteste la validité du Privacy shield devant la juridiction de L’UE, arguant que ce programme n’offre pas de protection adéquate.

L’affaire a été publiée sous le numéro T-670/16 sur le site web de la Cours de Justice Européenne avec pour seule description : « recours en annulation ».

Les particuliers peuvent demander, dans les deux mois de son entrée en vigueur, l'annulation d'un acte d'une institution, d'un organe ou d'un organisme de l'Union (notamment règlement, directive, décision). C’est le Tribunal (et non la Cour à proprement parler) qui est compétent pour connaître, en première instance, de tous les autres recours de ce type formés par les particuliers (à la différence des recours des Etats membres ou institutions europénnes).

Le porte-parole de la Commission européenne a reconnu avoir connaissance de l’action en annulation, mais se dit convaincu que le Privacy Shield sera à la hauteur des exigences de la cour.
Voir le communiqué de Reuters sur le sujet http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKCN12Q2JK

Les entreprises doivent donc rester vigilantes et à l’écoute des évolutions de cette question cruciale des transferts entre l’UE et le reste du monde. Nous continuerons à vous tenir informés.