Protection des données personnelles : le Safe Harbor n’est plus. Et demain ?

Protection des données personnelles : le Safe Harbor n’est plus. Et demain ?
Fotolia Le 31 janvier 2016 l'accord Safe Harbor ne permet plus de transférer des données à caractère personnel vers les Etats-Unis.

En invalidant l’accord liant l’Europe et les Etats-Unis pour la protection des données personnelles, la Cour de justice de l’Union européenne a créé un risque juridique pour les entreprises commerciales qui peine à être pleinement circonscrit.

C’était le 6 octobre dernier, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a fait grand bruit dans le monde de la gestion des données à caractère personnel. En effet, la Cour européenne a invalidé l’accord Safe Harbor suite à la demande d’un autrichien qui s’est attaqué au transfert de données, via Facebook.

Le Safe Harbor est un accord passé entre les Etats-Unis et la Commission européenne, en 2001. Il a pour objet de permettre aux entreprises européennes de transférer vers des entreprises américaines « accréditées », en vertu du Safe Harbor, des données à caractère personnel.

L’épineuse question qui se pose alors aux acteurs économiques est comment faire du transfert de données personnelles, sans le Safe Harbor.

Le G29 qui réunit les régulateurs numériques européens, comme la CNIL en France, a admis une période transitoire pour permettre de trouver des solutions. Cette période s’achève le 31 janvier 2016. La solution n’est pas trouvée.

Reste que les entreprises exportatrices ou qui donnent accès à leur stock de données aux entreprises américaines doivent se réorganiser.

La vérité est ailleurs…

Le Safe Harbor repose sur des principes de protections des données des citoyens équivalents à ceux pratiqués en Europe (conformément à la directive européenne du 24 octobre 1995). A ce sujet, Fabrice Naftalski, avocat associé d’EY, déclare « le Safe Harbor, qui reposait sur les principes de la directive européenne de 1995, avait le grand mérite de « supplanter » s’agissant des entreprises adhérentes au Safe harbor le patchwork législatif américain ».

Un patchwork dû à une approche par secteurs d’activités, qui de plus se décline au niveau fédéral et des Etats fédérés. Fabrice Naftalski poursuit, « un autre avantage du Safe Harbor était que les entreprises opérant des transferts de données dans ce cadre juridique étaient dispensées de l’autorisation préalable de la CNIL pour chaque finalité de transfert à l’inverse des systèmes conventionnelles bilatéraux ou multilatéraux : les clauses contractuelles standard [ndlr : mise en oeuvre par le G29] et les BCR (voir ci-dessous encadré : La protection des données au sein du groupe AXA).

Affaire Snowden

Seulement voilà, entre temps, l’affaire Snowden sur les programmes de surveillance de masse des agences de renseignement américaines a été révélée. Prenant l’ampleur du risque d’atteinte aux droits à la protection des données personnelles des citoyens européens, la CJUE a donc jugé, en octobre dernier, que « le droit et les pratiques en vigueur [aux Etats-Unis] n’assurent pas un niveau de protection adéquat. » Invalidant ainsi le Safe Harbor.

Entre temps, les Etats-Unis ne sont pas restés sourds aux critiques, une loi spéciale est en discussion, mais pour le moment le Sénat américain a repoussé le débat sine die. On comprend que les Etats-Unis doivent infléchir leur politique de surveillance… vaste sujet !

Pas de Safe Harbor 2.0 en vue donc, pour le moment.

Des solutions contractuelles non totalement pérennes  

A la suite de la décision du 6 octobre 2015, beaucoup entreprises ont rapidement migré vers des solutions juridiques fondées sur une approche contractuelle – entre entreprise exportatrice et destinataire  – pour pouvoir poursuivre leurs transferts de données vers les Etats-Unis. Cependant, la menace est aussi présente sur ces solutions : « ces mécanismes ne répondent pas davantage que le Safe Harbor à la problématique de l’accès, par le Gouvernement américain, aux données personnelles », explique Fabrice Naftalski.

Aujourd’hui au regard de l’importance économique et opérationnelle des transferts de données, on voit mal le G29 suspendre également les accords contractuels qui permettent encore les transferts. Et cela, même si certaines Cnil des landers allemands notamment ont déjà fait ce choix rigoureux.

Le G29 devrait communiquer tout début février sa position en l’absence de Safe Harbor 2.0. 

« A très court terme, le meilleur moyen pour les entreprises d’être en conformité avec les exigences de protection des données des citoyens et de démontrer leur volontarisme à la CNIL et à leurs clients est de recourir aux clauses standards », conclut Fabrice Naftalski.

La protection des données sein du groupe AXA
Le groupe international d’assurance AXA a organisé un système conventionnel en son sein, pour protéger les données personnelles de ses assurés qui circulent entre ses filiales, au niveau mondial. Ce sont les « Binding Corporate Rules (BCR) » (règles internes d'entreprise), propres à AXA. Environ 80 groupes dans le monde ont adopté ce système.  
La protection des données à caractère personnel repose dans les BCR d’AXA sur :
- une politique de protection au niveau du groupe ;
- une gouvernance dédiée approuvée par le Management Committee du groupe ;
- un chargé de la protection des données groupe. Il coordonne au niveau mondial le réseau des chargés locaux de la protection des données ;
- un comité de pilotage « AXA BCR ».

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Marché public de prestation de services en assurances.

Ville de St Mandé

21 juillet

94 - ST MANDE

Prestations de services d'enrichissement de portefeuilles d'investissements pour le...

FGA Fonds de Garantie des Assurances

21 juillet

94 - VINCENNES

Marché de service relatif à la prestation d'assurance..

Ville de St Dié des Vosges

21 juillet

88 - ST DIE DES VOSGES

Proposé par   Marchés Online

Commentaires

Protection des données personnelles : le Safe Harbor n’est plus. Et demain ?

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié