Analyses & Etudes
SSW Newsletter – Les données personnelles
<div style="text-align: justify;"><span style="font-size: small;">Safe Harbour – les conditions du Transfert de données à caractère personnel de l’Union européenne vers les États-Unis sont remises en question par la Cour de Justice de l’Union Européenne. Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (« la Cour ») a rendu son arrêt dans l’affaire Maximillian Schrems contre le Data Protection Commissioner (C-362/14), arrêt par lequel elle a invalidé la Décision 2000/520/EC de la Commission européenne du 26 juillet 2000 concernant le programme Safe Harbour.</span></div>
>
Selon les termes et dispositions de cet arrêt, le transfert de données ? caractère personnel vers des pays tiers situés en dehors de l’Espace Économique Européen ne pourra être effectif que si le pays destinataire des données, comme par exemple, les États-Unis, assurait ou garantissait un niveau de protection adéquat de ces données.
Dans le cas d’un transfert de données ? caractère personnel vers les États-Unis, il a été admis que cette condition serait remplie si le destinataire des données avait adhéré au programme Safe Harbour, c’est-? -dire s’il avait obtenu un certificat valable attestant de son adhésion au programme Safe Harbour, certificat qui justifierait du périmètre et préciserait ? quelles fins ces données pourraient être traitées.
Depuis les 15 dernières années, le transfert de données ? caractère personnel ? partir de l’Union européenne vers les États-Unis se faisait sur le fondement du programme Safe Harbour. Or, l’arrêt rendu par la Cour a remis en question le mécanisme de transfert des données vers les États-Unis, tel que pourtant effectué par des milliers d’entrepreneurs de l’Union Européenne sur la base du programme Safe Harbour.
La Cour a rendu son arrêt ? la suite de la plainte déposée par M. Maximillian Schrems, ressortissant autrichien et militant en faveur de la protection de la vie privée, auprès de l’organe de contrôle chargé de la protection des données ? caractère personnel situé en Irlande (et où se trouve le siège de la société Facebook Ireland Ltd.).
M. Schrems fait valoir que les données ? caractère personnel qu’il avait fournies en qualité d’utilisateur de Facebook, ont été transférées vers des serveurs appartenant ? Facebook Inc., serveurs situés sur le territoire des États-Unis, territoire où les données font l’objet d’un traitement qui susciterait de sérieux doutes de la part requérant. Sa plainte était liée aux révélations faites par M. Edward Snowden concernant les abus commis par les services de renseignement des États-Unis en matière d’accès et de traitement des données, services qui seraient selon lui incontrôlés et dont les abus auraient été commis ? une très grande échelle.
Le Tribunal a ainsi constaté ou considéré que le programme Safe Harbour n’assurait pas un niveau de protection suffisant des droits fondamentaux des citoyens de l’Union européenne pour qui les données ont été transférées vers les États-Unis, niveau de protection qui devrait être substantiellement équivalent ? celui garanti sur le territoire de l’Union.
La Cour a notamment attiré l’attention sur le fait que les personnes dont les données étaient transférées aux États-Unis ne pouvaient pas exercer des voies de recours juridiques , pour obtenir l’accès aux données ? caractère personnel les concernant, ou pour obtenir leur rectification ou encore leur suppression. En outre, ces données ont été traitées d’une manière incompatible, notamment, avec les finalités de leur transfert (et, notamment, par les services de sécurité américains, au-del? de ce que qui était strictement nécessaire et proportionné ? la protection de la sécurité nationale).
La Cour, en invalidant la décision de la Commission européenne sur la base de laquelle fonctionne le programme Safe Harbour, a observé que dans le cas d’une contestation de la légalité du transfert des données vers les États-Unis conformément au programme Safe Harbour, les autorités nationales de contrôle devaient pouvoir vérifier en toute indépendance si le niveau adéquat de protection était effectivement assuré.
L’arrêt revêt une importance capitale pour les transferts de données ? caractère personnel vers les États-Unis, qui sont effectués principalement du fait que le destinataire des données a bien adhéré au programme Safe Harbour. Cela reste lié au fait que de nombreux acteurs polonais qui sauvegardent leurs données ? caractère personnel en les hébergeant sur des serveurs localisés aux États-Unis ou traitent de telles données dans le nuage situé aux États-Unis ce qui, du point de vue juridique, équivaut ? un transfert de données.
D’après cet arrêt, les entreprises qui, notamment, font partie de holdings internationales doivent vérifier le fondement juridique du transfert de données ? caractère personnel vers des sociétés ayant leur siège aux États-Unis. Cela concerne en particulier les entrepreneurs dont la société mère est établie aux États-Unis et qui, fréquemment, hébergent les données ? caractère personnel de leurs travailleurs ou clients dans la base de données globale de cette même société-mère aux États-Unis, ? laquelle l’entreprise polonaise peut accéder ? distance.
Si, jusqu’? présent, le transfert de données ? caractère personnel était effectif du fait que l’acteur considéré, ayant son siège aux États-Unis, était membre du programme Safe Harbour, il faudrait aujourd’hui considérer l’application d’un autre mécanisme de transfert de données ? caractère personnel vers les États-Unis pour leur assurer et garantir un niveau de protection adéquat des données hébergées aux États-Unis. Une alternative reste possible, consistant par exemple ? recourir ? des contrats de transfert établis selon le modèle de la Commission européenne (soit les clauses contractuelles standards) ou ? obtenir, au préalable, l’accord par écrit de la personne concernée par de telles données.
Le choix de la méthode qui légitimise le transfert, dépend de différents facteurs, y compris de la stratégie en matière d’affaires et d’organisation du traitement des données ? caractère personnel au sein de la société/ groupe de sociétés. Cet arrêt devrait amener les entreprises non seulement ? vérifier le mécanisme actuel de transfert de données ? caractère personnel vers les États-Unis, mais, aussi, ? vérifier la documentation relative au transfert de telles données dans le contexte, entre autres, d’obligations d’informations qui pèsent sur la société en sa qualité de responsable de la sécurité des systèmes d’information ? l’égard des personnes concernées par de telles données.
Cela peut entraîner, par exemple, la nécessité d’adapter les dispositions de la politique de protection de la vie privée, qui les lient avec les destinataires des données hébergées aux États-Unis et qui font valoir leur appartenance au programme Safe Harbour pour garantir le niveau de protection de données. Cet arrêt aura une très grande importance dans la pratique des transferts de données vers les États-Unis pour les entreprises de tous les États membres de l’Union européenne. Nous attendons actuellement la position de l’Inspecteur Général de la protection des données personnelles - Generalny Inspektor Ochrony Danych Osobowych ( ? le GIODO ?) qui serait susceptible de fournir des indications très précieuses pour les aspects pratiques des transferts de données vers les États-Unis dans le contexte d’une nouvelle réalité juridique au sein de laquelle nous évoluons et ceci depuis la date ? laquelle la Cour a rendu l’arrêt en question.
Contact:
Joanna Tomaszewska
Partner, Avocat-Conseil
Joanna.Tomaszewska@ssw.pl
Anna Turek
Associate, Avocat
Anna.Turek(@)ssw.pl