« Safe Harbor » déclaré illégal - Arrêt Schrems - Cour de justice de l’Union européenne

Dans un arrêt novateur prononcé le 6 octobre dans une affaire  Schrems contre l’autorité de protection de la vie privée irlandaise, la Cour de justice de l’Union européenne (CJUE) a déclaré le cadre « Safe Harbor » illégal. Beaucoup d'entreprises se basent sur ce cadre en matière de vie privée pour justifier le transfert de données à caractère personnel depuis l'Union européenne vers les États-Unis. L’arrêt pourrait avoir d'importantes implications pour les entreprises qui communiquent des données à caractère personnel à une entreprise du même groupe ou à un fournisseur de services aux États-Unis.

Le cadre « Safe Harbor » a été négocié entre la Commission européenne et les Etats-Unis et impose un certain nombre de conditions pour le transfert de données à caractère personnel à des entreprises américaines. Selon la réglementation européenne et belge en matière de respect de la vie privée, un transfert de données à caractère personnel à l’extérieur de l'Union européenne est interdit, à moins que le pays tiers garantisse un niveau de protection adéquat. Si les entreprises américaines avaient souscrit au cadre « Safe Harbor » et respectaient ses règles, un transfert de données à caractère personnel vers les États-Unis, pouvait, selon la Commission européenne, avoir lieu sur cette base.

L’arrêt fait suite à une plainte déposée par un activiste de la protection de la vie privée Max Schrems contre l’autorité de protection de la vie privée irlandaise à propos du transfert de ses données à caractère personnel par Facebook en Irlande vers les serveurs de Facebook aux  États-Unis. Celui-ci a eu gain de cause devant la Cour de justice de l’Union européenne, en partie grâce aux révélations du dénonciateur Edward Snowden sur les pratiques d’espionnage en ligne des services de renseignement américains.

Selon la CJUE, les organes de contrôle nationaux, comme la Commission de la vie privée belge, peuvent examiner si un niveau de protection adéquat existe aux États-Unis et s’opposer à la décision de la Commission européenne selon laquelle « Safe Harbor » offrirait automatiquement une protection adéquate. Mais la CJUE a désormais été un pas plus loin en déclarant la décision « Safe Harbor » de la Commission européenne simplement illégale.

La conséquence est qu’un transfert de données à caractère personnel depuis l’Union européenne vers les États-Unis qui se base uniquement sur le système « Safe Harbor » peut être considéré comme illégal.

Une réaction politique va certainement avoir lieu. La Commission européenne et les États-Unis sont déjà en train de négocier le renforcement des conditions de transfert de données à caractère personnel vers les États-Unis. En outre, il est à prévoir que la future réglementation européenne sur la protection des données à caractère personnel, qui remplacera la directive européenne et la loi belge en matière de traitement des données à caractère personnel, prévoira également une adaptation des mécanismes de transfert des données à caractère personnel.

Dans l'intervalle, il est difficile d’anticiper avec quelle sévérité les organes de contrôle nationaux, en ce compris la Commission de la vie privée belge, vont considérer comme illégaux les transferts de données à caractère personnel vers les États-Unis.

> Point d’action

Si votre entreprise transfère des données à caractère personnel vers les États-Unis, et se base dans ce contexte uniquement sur « Safe Harbor », vous devez dès à présent examiner des alternatives, par exemple l’introduction de clauses standard dans vos contrats avec des entreprises américaines.