Retour
4 novembre 2015

Transfert de données personnelles vers les Etats-Unis : invalidation de la décision de la Commission européenne

L’accord de « Safe Harbor » conclu entre les Etats-Unis et l’Union européenne autorise depuis 2000 plus de 4000 entreprises référencées dans cette sphère de sécurité à transférer des données personnelles vers les Etats-Unis.

Néanmoins le 6 octobre 2015, la Cour de Justice de l’Union Européenne a invalidé une décision de la Commission européenne en date du 26 juillet 2000 qui permettait dès lors aux entreprises de transférer des données personnelles vers ce pays et de les conserver, conformément au « Safe Harbor ». La Commission estimait que les Etats-Unis assuraient un « niveau de protection adéquat ».

La demande préjudicielle portait sur l’interprétation du « Safe Harbor » par la Commission européenne au regard de la charte des droits fondamentaux de l’Union Européenne et notamment des articles 25 et 28 de la directive du Parlement européen 95/46 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation desdites données.

Par principe, selon la directive du 24 octobre 1995, le transfert de données vers un pays tiers est interdit. Toutefois la Commission européenne peut constater par décision qu’un pays tiers assure un niveau de protection suffisant des données personnelles.  

Cette demande préjudicielle a été présentée par la Haute Cour de Justice Irlandaise dans le cadre d’un litige opposant un utilisateur de Facebook à ladite société, ce dernier portant plainte en raison de la possibilité pour le réseau social de transférer aux Etats-Unis les données à caractère personnel de ses utilisateurs et de les conserver sur des serveurs situés sur ce territoire.

La CJUE a relevé que les entreprises américaines étaient tenues de se soumettre aux législations américaines, dont notamment l’accès des autorités publiques américaines aux données transférées de manière massive et indifférenciée, et devaient ainsi écarter l’application des clauses du « Safe Harbor » qui seraient contraires à ces législations.

Ainsi la Cour constate que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate, et a par conséquent invalidé la décision prise le 26 juillet 2000.

La décision du 6 octobre dernier impose dès lors à la CNIL de rencontrer ses homologues au sein du G29 (le groupe des CNIL européennes) afin de déterminer quelles seront les conséquences de cet arrêt sur les transferts intervenus dans le cadre du « Safe Harbor ».

 L’accord de « Safe Harbor » conclu entre les Etats-Unis et l’UE autorise plus de 4000 entreprises référencées dans cette sphère de sécurité à transférer des données personnelles vers les Etats-Unis.

Néanmoins le 6 octobre 2015, la Cour de Justice de l’Union Européenne a invalidé une décision de la Commission européenne en date du 26 juillet 2000 qui permettait dès lors aux entreprises de transférer des données personnelles vers ce pays et de les conserver, conformément au « Safe Harbor ». La Commission estimait que les Etats-Unis assuraient un « niveau de protection adéquat ».

La demande préjudicielle portait sur l’interprétation du « Safe Harbor » par la Commission européenne au regard de la charte des droits fondamentaux de l’Union Européenne et notamment des articles 25 et 28 de la directive du Parlement européen 95/46 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation desdites données.

Par principe, selon la directive du 24 octobre 1995, le transfert de données vers un pays tiers est interdit. Toutefois la Commission européenne peut constater par décision qu’un pays tiers assure un niveau de protection suffisant des données personnelles.

Cette demande préjudicielle a été présentée par la Haute Cour de Justice Irlandaise dans le cadre d’un litige opposant un utilisateur de Facebook à ladite société, ce dernier portant plainte en raison de la possibilité pour le réseau social de transférer aux Etats-Unis les données à caractère personnel de ses utilisateurs et de les conserver sur des serveurs situés sur ce territoire.

La CJUE a relevé que les entreprises américaines étaient tenues de se soumettre aux législations américaines, dont notamment l’accès des autorités publiques américaines aux données transférées de manière massive et indifférenciée, et devaient ainsi écarter l’application des clauses du « Safe Harbor » qui seraient contraires à ces législations.

Ainsi la Cour constate que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate, et a par conséquent invalidé la décision prise le 26 juillet 2000.

La décision du 6 octobre dernier impose dès lors à la CNIL de rencontrer ses homologues au sein du G29 (le groupe des CNIL européennes) afin de déterminer quelles seront les conséquences de cet arrêt sur les transferts intervenus dans le cadre du « Safe Harbor ».