Garance Mathias, avocat à la Cour, revient sur les conséquences de l’invalidité de Safe Harbor (lire notre article : Transfert de données personnelles de l’Union européenne vers les Etats-Unis : la justice européenne invalide le Safe Harbor) et sur les solutions que institutions européennes et autorités américaines doivent trouver. www.avocats-mathias.com.
Le Groupe de l’article 29 s’est réuni le 15 octobre afin de tirer les conséquences de l’arrêt rendu par la Cour de justice de l’Union européenne le 6 octobre dernier invalidant la décision de la Commission européenne instaurant la sphère de sécurité. Les institutions européennes et les autorités américaines sont invitées à trouver des solutions avant la fin du mois de janvier 2016. A défaut, les autorités de protection pourraient procéder à des actions répressives coordonnées.
Les exigences du G29
Après avoir rappelé que la surveillance massive et indifférenciée effectuée par les institutions américaines est incompatible avec le cadre juridique européen de protection des données à caractère personnel, le G29 appelle tous les acteurs à rechercher, au plus vite, des solutions politiques, juridiques et techniques permettant de transférer les données vers le territoire américain dans le respect des droits fondamentaux.
Rappelons que des négociations relatives à la sphère de sécurité sont toujours en cours et qu’elles devraient aboutir à la définition de garanties nouvelles renforçant les droits des citoyens européens.
Cependant, le G29 insiste d’ores et déjà sur le fait que les solutions retenues devront notamment inclure :
des mécanismes contraignants, des obligations à la charge des autorités publiques américaines quant au contrôle des programmes de surveillance, des recours au bénéfice des citoyens européens.
Entreprises, pensez aux outils alternatifs
Si les transferts de données personnelles fondés sur la sphère de sécurité ne sont dorénavant plus possibles, les entreprises ne restent pas pour autant sans alternative.
Le G29 confirme que les entreprises responsables de traitement peuvent utiliser des clauses contractuelles types ou s’appuyer sur les règles internes d’entreprises pour transférer des données personnelles aux Etats-Unis.
Toutefois, il convient de garder à l’esprit que les autorités de contrôle ont la possibilité de contrôler les transferts Outre-Atlantique et ce notamment dans le cadre de plaintes dont elles pourraient être saisies. Par ailleurs, notons que le G29 examinera les répercussions de l’arrêt Schrems sur les clauses contractuelles types et les règles internes d’entreprises car ces instruments ne semblent pas de nature à faire obstacle à la surveillance massive des autorités américaines tant décriée.
