Le transfert des données personnelles

...

A ce titre ou ainsi, la Commission Européenne, a reconnu par une décision d’adéquation que certains pays non membres de l’UE disposent d’une législation offrant une protection suffisante des données personnelles et a autorisé le transfert de données personnelles vers ces pays tiers. Il s’agit de : l’Israël, la Suisse, le Canada, l’Argentine, l’Uruguay, la Nouvelle-Zélande, l’Andorre, les Iles Féroé, de Man, de Guernesey, et de Jersey.

(FAIRE UN PETIT RECAPITULATIF)

- ALTERNATIVES

- Alternative contractuelle : les clauses contractuelles types (CCT)

La Commission Européenne propose également des ensembles de clauses types appelées Clauses Contractuelles Types pour faciliter la rédaction de contrat entre l'entité exportatrice et l'entité importatrice de données personnelles qui prévoient l’engagement par l’importateur des données de respecter les principes fondamentaux de la directive 95/46/CE.

Une CCT est une clause approuvée par la Commission Européenne dont la reprise à l’identique fait présumer d’un niveau de protection suffisant et, conduit à obtenir l’autorisation de la CNIL.

- Alternative non contractuelle : les Binding corporate rules ( BCR)

Le transfert de données personnelles peut également être autorisé si des règles internes (BINDING CORPORATE RULES BCR) sont en vigueur au sein de l’entreprise destinataire et garantissent une protection adéquate des données.

Ces BCR constituent un code de conduite, définissant la politique interne d’une entreprise internationale en matière de transferts de données personnelles hors l’UE par un jeu de règles obligatoires et contraignantes. Elles garantissent l’application d’une protection équivalente à celle de la directive 95/46/CE. Les BCR doivent être approuvées par la CNIL ou par l’une de ses homologues européennes.

(AJOUTER SCHEMA TRANSFERT DP HORS UE)

Le cas particulier des Etats Unis

Les Etats Unis ne figurent pas dans la liste des pays assurant un niveau adéquat de protection. L’exportation de données personnelles est donc soumise au régime des dérogations.

- LE SAFE HABOR (2000 – 2015)

Les États-Unis n'ont pas été considérés comme assurant un niveau de protection adéquat en raison des grandes disparités existant, entre le droit américain et le droit européen ce qui laissait craindre un blocage des flux de données personnelles entre l'Europe et les États-Unis. Pour éviter cette situation, et au vu de l'importance évidente des échanges économiques transatlantiques, la Commission européenne et le US Department of commerce ont entamé, dès 1998, des discussions, débouchant, en 2000, sur l'accord de Safe Harbor ou « Sphère de sécurité » dont l'objet était, assez clairement, de contourner l'inadéquation du droit américain.

Le système mis en place permettait le transfert de données personnelles uniquement vers les entreprises des Etats-Unis qui avaient volontairement adhéré au mécanisme de Safe Habor. Les entreprises signataires s’engageaient à assurer en interne un niveau de protection des données suffisant.

Mais, suite aux révélations d’Edward Snowden en 2013, il est apparu que les données concernant les citoyens européens, une fois transférées aux Etats-Unis, n’étaient pas correctement protégées contre la surveillance du gouvernement américain. Saisie suite à la plainte déposée par Max Schrems contre Facebook, la CJUE a estimé dans un arrêt du 6 Octobre 2015 que le Safe Harbor ne permettait ni d’assurer un niveau adéquat de protection des données des citoyens européens, ni à ces derniers de disposer d’un recours pour faire valoir leurs droits. Pour ces raisons, le CJUE a invalidé le dispositif de Safe Harbor ce 6 Octobre 2015. Tous les transferts basés sur ce mécanisme sont donc désormais illégaux.

Le Safe Harbor ayant été invalidé, les Etats Unis retombent donc dans le régime commun des dérogations listées plus haut (BCR, CCT, consentement de la personne concernée…)

- L’AFFAIRE

Maximilian Schrems, un étudiant autrichien en droit et utilisateur de Facebook, constata que Facebook Ireland, l'entité européenne gérant le réseau social pour l'Europe, envoyait vers sa société mère américaine - Facebook Inc. les données personnelles récoltées, sur le fondement du Safe Harbor. Estimant que la législation américaine ne fournissait pas de garanties suffisantes à ce sujet, il demanda alors au Data Protection Commissioner, l'équivalent irlandais de la CNIL, de faire interdiction à Facebook Ireland de transférer les données personnelles récoltées en Europe à sa société mère.

Le requérant estimait que le droit américain n'assurait pas une protection satisfaisante des données personnelles, notamment à la lumière des révélations de M. Edward Snowden relatives aux pratiques des services de renseignement américains en la matière, particulière, de la National Security Agency (NSA).

Plus clairement, il soutenait que les données qu'il fournissait à Facebook et qui étaient transférées à Facebook Ireland pour être ensuite conservées sur des serveurs situés aux États-Unis étaient insuffisamment protégées contre la surveillance étatique américaine, et voulait qu’on interdise à Facebook Ireland de transférer les données à caractère personnel qu'elle détient vers les États-Unis.

Il fut débouté par le Data Protection Commissioner qui a fondé son refus sur la décision de la Commission européenne 2000/520/CE qui pose les principes du Safe Harbor ou « sphère de sécurité » garantissant un niveau de protection adéquat des données par les entreprises américaines qui y adhèrent.

La Haute Cour irlandaise, suite au refus du Data Protection Commissioner décide de poser alors à la Cour de justice deux questions préjudicielles : la première consiste à demander si le commissaire à la protection des données, saisi d'une plainte visant à remettre en question le caractère adéquat de la protection des données transférées vers les États-Unis, est lié par la constatation contraire contenue dans la décision 2000/520/CE. La seconde interroge la Cour sur la possibilité pour le commissaire de mener sa propre enquête quant au niveau de protection offert dans

...