La décision de la Cour de Justice de l’Union Européenne (CJUE) du 6 Octobre 2015[1] a invalidé avec grand bruit le mécanisme «  Safe Habor » permettant depuis 2000[2] le transfert de données personnelles depuis l’Union Européenne vers des entreprises situées aux Etats-Unis bénéficiant d’une certification «  Safe Habor ».

Pour rappel, les Etats-Unis n’offrant pas un niveau de protection adéquat, le transfert de données personnelles vers des entreprises situées dans ce pays est de manière générale interdit[3]. Toutefois, à titre d’exception, il était jusqu’alors permis aux sociétés européennes de transférer des données à caractère personnel à des prestataires américains si et seulement si ces derniers i) bénéficiaient d’une certification « Safe Harbor » aux termes de laquelle ils déclaraient s’engager à mettre en œuvre des mécanismes permettant d’assurer un niveau de protection adéquat ou ii) concluaient des contrats avec un responsable de traitement européen insérant les clauses contractuelles types édictées par la Commission européenne[4].

Dans la décision du 6 octobre 2015, la CJUE a notamment considéré que, eu égard aux révélations d’Edward Snowden en 2013 sur les programmes de surveillance de masse de la NSA, la certification « Safe Habor » ne présentait plus les garanties suffisantes pour la protection de la vie privée. Cette décision étant d’application immédiate, tous les transferts de données personnelles effectués sur la base de cette certification sont donc illégaux et doivent en théorie faire l’objet de régularisation.

Suite à cette décision, la CNIL et ses homologues européens (G29) se sont réunis le 15 octobre dernier pour élaborer un plan d’action commun permettant aux acteurs de s’adapter au nouveau contexte juridique. A ce titre, le G29 a appelé les institutions et les gouvernements européens à construire un nouveau cadre juridique permettant de procéder à des transferts de données entre l’Europe et les Etats-Unis, et ceci, avant le 31 janvier 2016. De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental et la mise en place d’un nouveau « Safe Harbor » pourrait être envisagé.

Le G29 poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils permettant d’effectuer un transfert des données vers les Etats-Unis et notamment concernant les clauses contractuelles type précitées. Le G29 a indiqué qu’en attendant la mise en place de nouvelles règles, cet outil pouvait encore être utilisé par les entreprises européennes pour transférer des données personnelles aux Etats-Unis.

Toutefois, cet outil ne permettant pas plus que le « Safe Harbor » de prévenir une éventuelle intrusion de la NSA dans les données personnelles des européens confiées à des prestataires américains, les entreprises ne sont pas à l’abri de voir cette solution invalidée à son tour par décision de justice ou recommandation de la CNIL[5].

Dans l’attente de la signature d’un nouvel accord intergouvernemental ou de la mise en place d’un nouvel outil de transfert, comment les entreprises doivent-elles réagir aujourd’hui ?

Dans ce contexte, les entreprises européennes désireuses de transférer leurs données aux Etats-Unis doivent agir avec prudence.

Elles doivent ainsi mettre en œuvre des solutions juridiques et techniques pour limiter les risques éventuels qu’elles prennent en transférant leurs données personnelles, ce qui implique essentiellement de mettre en place des clauses contractuelles contraignantes vis-à-vis des prestataires qui recevront les données aux Etats-Unis.

Ces clauses devront notamment inclure :

(i) à minima, toutes les obligations prévues dans les clauses contractuelles types ;

(ii) des obligations supplémentaires pour les prestataires américains opérant un service de Cloud Computing :

• informations relatives à la manière dont les traitements sont effectués (respect de la loi informatique et libertés[6], définition des moyens de traitement mis en place, consentement du client en cas de recours à un tiers pour la réalisation du traitement, limitation de la durée de conservation et report des obligations dans les contrats de sous-traitance) ;
• mise en place d’un système de remontée des plaintes et failles de sécurité ;
• possibilité pour le client de procéder à un audit du prestataire ;
• destruction et restitution des données à la fin de la prestation ou en cas de rupture anticipée du contrat dans un format choisi par le client ;
• indication des obligations incombant au prestataire en matière de sécurité des données (notamment, mesures de sécurités physiques et techniques, traçabilité, continuité du services, niveau de service, sauvegardes) et précision que ce dernier ne peut agir que sur instruction du client ;
• devoir de coopération de la part du prestataire avec les autorités de protection des données compétentes et obligation de fournir au client toute information utile permettant de procéder à la déclaration du traitement auprès desdites autorités ;
• indication claire et exhaustive des pays dans lesquels les données sont hébergées et assurance d’une protection adéquate dans les pays en question.

(iii) enfin et surtout, afin de prévenir tout éventuel revirement de la CNIL, des obligations particulières pour s’assurer la licéité du transfert en toute circonstance :

• obligation de s’adapter en prenant les mesures techniques et juridiques nécessaires pour se conformer aux évolutions de la loi informatique et libertés et aux recommandations de la CNIL ;
• en cas d’incapacité ou d’impossibilité de respecter les évolutions de la loi informatique et libertés, prévoir une clause de résiliation automatique du contrat avec restitution (interopérabilité) et suppression des données sans frais supplémentaires pour le client.

Jusqu’à présent, le recours à des sous-traitants bénéficiant du « Safe Harbor » s’effectuait dans la grande majorité des cas par la signature de conditions générales ou de contrats d’adhésion dans lesquels les clients européens ne pouvaient négocier la moindre clause. L’actuel flou dans lequel sont placés les prestataires américains autrefois « Safe Harbor » les obligera nécessairement à modifier leurs contrats et à les adapter aux exigences de leurs clients européens. La décision de la CJUE aura peut-être le mérite de rééquilibrer les forces entre responsables de traitement européens et prestataires de services américain.

[1] Arrêt CJUE du 6 octobre 2015, Affaire C-362-14 Maximillian Schrems v. Data Protection Commissionner

[2] Décision de la Commission du 26 juillet 2000

[3] Rappelons en effet qu’aux termes de la directive 95/46, lorsqu’un pays tiers à l’Union Européenne n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit

[4] Précisons qu’un autre moyen contractuel de transfert était prévu pour les entreprises d’un même groupe (« Binding Corporate Rules »)

[5] A ce titre, il convient de préciser qu’une autorité de protection allemande s’est déjà prononcée en exprimant son souhait d’invalider également les clauses contractuelles types et de n’autoriser le transfert des données aux Etats-Unis que sous réserve du changement de leur législation

[6] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés