La gestion des données par les entreprises après Safe Harbour : point de vue d'un avocat
L'invalidation du Safe Harbour américain par la CJUE le 6 octobre 2015 constitue un coup d'arrêt aux transferts massifs et indifférenciés de données personnelles vers les États-Unis. Quelques conseils à destination des entreprises, notamment de leurs CFO, à la croisée du juridique et de l'IT.
A l'heure où le numérique bat son plein et surfe parfois sur des vides juridiques, on assiste à un transfert massif et indifférencié, pour ne pas dire sauvage, de données personnelles de l'Europe vers les serveurs américains des géants du web devenus aujourd'hui incontournables : Google peut revendiquer chaque jour près de 8.64 milliards de recherches, Facebook 4.75 milliards de contenus partagés. L'individu, par l'utilisation en apparence gratuite d'internet, se retrouve alors, et souvent à son insu, lui-même produit de cette industrie avec mise à disposition sans garde-fous des données relatives à sa vie privée.
Or, le 6 octobre 2015, la CJUE invalidait la décision du 26 juillet 2000 de la Commission européenne qui considérait que les États-Unis assuraient un niveau de protection suffisant. En vertu de ce niveau de protection, le transfert de données à caractère personnel de l'Union européenne vers les États-Unis était autorisé. D'où le Safe Harbour (ou "sphère de sécurité") qui, depuis 15 ans, permettait aux entreprises américaines, plus de 5.000 à l'heure actuelle, d'auto-certifier auprès de leurs autorités locales qu'elles se conformaient au niveau de protection exigé en Europe.
De fait, le principe en Europe est celui de l'interdiction de transférer les données personnelles en dehors de l'UE (Directive 95/46/CE du 24 octobre 1995) sauf à ce que le pays destinataire soit reconnu par la Commission européenne comme "offrant un niveau de protection des données suffisant". L'Europe ne pouvant toutefois se cantonner à ses frontières et ces rares exceptions étatiques, plusieurs outils ont alors été mis en place pour permettre de tels flux notamment outre-Atlantique. On relèvera principalement :
- la possibilité de recueillir l'accord individuel et exprès de la personne à laquelle se rapporte les données, peu adaptée aux transferts de masse ;
- les clauses contractuelle types (ou Model Clauses) approuvées par la Commission européenne entre deux responsables de traitement ou un responsable et un sous-traitant,
-et les règles contraignantes d'entreprise (ou Binding Corporate Rules - BCR) limitées aux transferts intragroupe, ou encore l'adhésion aux programmes de Safe Harbour...
A lire en page suivante: quelle gestion des données privilégier ?
Sur le même thème
Voir tous les articles Réglementation