Valentin Boullier

La Commission européenne a publié, le 6 novembre, des orientations relatives aux transferts de données à caractère personnel entre les États membres de l’Union européenne et les États-Unis. En effet, suite à l’arrêt Schrems (C362-14) invalidant le Safe Harbor (« Sphère de sécurité »), de nombreuses questions avaient été soulevées au regard des transfert de données à caractère personnel. La Commission européenne délivre donc ses orientations afin que les entreprises utilisant la sphère de sécurité puissent continuer à exercer leur activité sereinement, en attendant la fin des négociations entre l’Union européenne et les États-Unis. 

Dans cette communication, la Commission européenne rappelle que les négociations avec les États-Unis ont débuté dès janvier 2014. L’intérêt pour ces négociations a été rapidement ravivé après l’arrêt Schrems, le groupe de l’article 29 ayant, par le biais d’une déclaration en date du 16 octobre (disponible ici), rappelé que les autorités nationales de protection des données à caractère personnel seraient susceptibles de « prendre toutes les actions nécessaires et adéquates », dans l’hypothèse où une solution n’aurait pas été trouvée d’ici fin janvier 2016. Le communiqué indique également, de manière explicite, que des actions coercitives pourraient être menées dans cette hypothèse. Enfin, le groupe de travail de l’article 29 souligne la nécessité de relancer les négociations avec les États-Unis, en indiquant que « dans tous les cas, les transferts opérés sous l’égide du Safe Harbour après le jugement de la CUJE sont illégaux ». 

La protection des intérêts économiques étant l’une des priorités de la Commission européenne, celle-ci indique que les transferts peuvent être opérés en attendant la conclusion d’un accord, dans le cadre des SCC (« Standard Contractual Clauses ») et des BCR (« Binding Corporate Rules »). Enfin, la Commission rappelle les hypothèses pour lesquelles des dérogations peuvent s’appliquer. 

Les SCC peuvent être introduites « dans le but de compenser, de manière satisfaisante, l’absence d’un niveau adéquat de protection, en incluant les éléments essentiels de protection manquants dans une situation particulière donnée ». Des modèles de clauses sont disponibles dans la décision 2001/497/EC du 15 juin 2001 de la Commission européenne (disponible ici). L’intérêt des SCC est simple : en effet, celles-ci doivent être acceptées par les autorités nationales de protection. La Commission note cependant que ces autorités peuvent examiner à nouveau les SCC à la lumière de l’arrêt Schrems et porter une affaire devant la juridiction compétente. De même, elle précise que certains États dispose d’un stratagème de notification ou de pré-autorisation pour l’utilisation des SCC : « si les clauses ont été utilisées sans amendement, l’autorisation est en principe accordée automatiquement ». 

Toujours au niveau contractuel, la Commission rappelle, dans sa communication, que les entreprises peuvent user d’arrangements contractuels ad hoc, afin de démontrer que les transferts sont opérés avec des garanties suffisantes au sens de l’article 26 de la directive 95/46/EC ». Cependant, dans cette hypothèse, ces clauses devront être examinées par l’autorité nationale de protection. 

Outre les SCC, la Commission mentionne les BCR pouvant être mises en place par les sociétés d’un même groupe. Les citoyens peuvent aisément utiliser ces BCR pour assurer la protection de leurs données à caractère personnel : en effet, ceux-ci peuvent déposer un recours devant la juridiction compétente (ou devant l’autorité de protection nationale, comme la CNIL pour la France) dans le but de faire appliquer les BCR si celles-ci ne sont pas respectées par le groupe ou l’une de ses filiales. Cette possibilité est par ailleurs renforcée par la nomination d’une « entité » européenne par-devant laquelle le recours pourra être déposé. Ces BCR doivent par ailleurs répondre à plusieurs conditions formelles. 

Des dérogations existent également : ainsi, une entreprise pourra opérer un transfert entre un État-membre de l’Union et un État tiers, notamment si la personne a donné son consentement – exprès – au transfert ou si celui-ci est « nécessaire pour l’exécution ou la conclusion d’un contrat ». D’autres dérogations peuvent être utilisées, comme la sauvegarde des « intérêts vitaux » de la personne. L’interprétation de ces dérogations est cependant stricte. 

Les SCC, BCR et dérogations partagent des points communs :  pour que ces outils puissent s’appliquer, et ainsi permettre le transfert de données à caractère personnel malgré l’invalidation du Safe Harbour, ceux-ci doivent répondre à deux conditions. D’une part, la collecte de données à caractère personnel et le traitement de celles-ci doivent être opérés par un responsable de traitement situé dans l’Union européenne dans le respect strict des dispositions en vigueur (par exemple, en France, la loi 78-17). D’autre part, les transferts réalisés doivent présenter des garanties suffisantes de protection. La Commission cite l’exemple des SCC ou des BCR, en expliquant que si « l’importateur de données estime que la législation applicable dans le pays de réception l’empêche de remplir ces obligations, il doit alors en informer promptement l’exportateur des données situé dans l’Union européenne ». 

La communication de la Commission se conclut par le rappel de l’intensification des négociations débutées en 2013, suite à l’arrêt Schrems. La Commission indique également que l’objectif est de conclure les discussions et d’assurer le respect des conditions légales suite à la décision de la Cour dans les trois mois. 

Pour aller plus loin :

• Site de la Commission européenne, section « Protection of personal data », disponible ici.
• SCOTT (M.), « Europe Seeks to Reach Data Transfer Pact by Early 2016 », www.nytimes.com, publié le 6 novembre 2015, consulté le 9 novembre 2015, disponible ici.
• LOMAS (N.), « Europe Sets Out Three-Month Timetable To Seal New Data-Transfer Deal With U.S. », www.techcrunch.com, publié le 6 novembre 2015, consulté le 10 novembre 2015, disponible ici.
• EUDES (Y.), « Données personnelles : la situation reste floue après l’annulation de l’accord Safe Harbor », www.lemonde.com, publié le 8 novembre 2015, consulté le 10 novembre 2015, disponible ici.