La gestion des données par les entreprises après Safe Harbour : point de vue d'un avocat
Un flou juridique brutal
S'en suit un flou juridique brutal aux enjeux financiers que l'on peine à quantifier : techniquement, à ce jour, l'ensemble des données personnelles ayant été transférées aux Etats-Unis en vertu du Safe Harbour (incluant notamment les solution de comptabilité, de gestion RH, d'hébergement cloud, les CRM, ou encore les outils de collecte de données et de marketing en ligne) ne devraient pas s'y trouver et tout transfert opéré de la sorte devrait être stoppé sur le champ, à défaut de quoi il sera jugé illégal. La réalité est nécessairement toute autre et appelle au pragmatisme.
Au niveau local, c'est la CNIL et ses homologues européens (G29) qui ont immédiatement pris le relai avec le blanc-seing de la CJUE. Dans son communiqué du 16 octobre dernier, le G29 enjoint aux États-membres et aux institutions européennes d'engager au plus vite des discussions avec les autorités américaines pour trouver "des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux." Les autorités américaines et européennes auront trois mois (soit jusqu'à fin janvier 2016) pour trouver un accord sur une nouvelle forme de Safe Harbour (2.0).
Le Groupe enfonce le clou et précise que "si aucune solution satisfaisante n'était trouvée avec les autorités américaines avant la fin du mois de janvier 2016", les CNIL européennes pourront "mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées." Par ailleurs, les autorités de protection locales pourront toujours "contrôler certains transferts, notamment à la suite de plaintes qu'elle pourraient recevoir."
Quelle gestion des données ?
En attendant un nouveau cadre juridique et des clignes directrices claires, les outils déjà en place - consentements individuels, clauses contractuelles types et BCR - doivent continuer à être utilisés par les entreprises et sont d'ailleurs encouragés compte-tenu des circonstances. A ce titre, le site de la CNIL met à disposition un guide qui permettra aux entreprises de réduire leur risque en adoptant la bonne démarche pendant cette période de transition.
Si, à l'heure actuelle, cette décision crée effectivement une nouvelle ère d'incertitude, elle démontre également une volonté claire et déterminée des autorités européennes de lutter in fine contre les dérives d'internet par la mise en oeuvre d'un meilleur cadre juridique. Reste à voir les moyens qui seront utilisés et leur force de coercition face à de tels acteurs économiques.