Le 6 novembre 2015, la Commission européenne a publié des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l’arrêt rendu dans l’affaire Schrems.
Le 6 octobre 2015, la Cour de justice a déclaré, dans dans cette affaire, que laccord sur la sphère de sécurité de la Commission nétait pas valide. Larrêt a ainsi confirmé lapproche adoptée par la Commission depuis novembre 2013 visant une révision de laccord sur la sphère de sécurité, afin de garantir concrètement un niveau suffisant de protection des données, équivalent à celui exigé par le droit de lUnion.
Cet arrêt souligne donc l’importance du droit fondamental à la protection des données, y compris lorsque des données à caractère personnel sont transférées vers des pays tiers.
Ainsi, depuis cet arrêt, la Commission accélère les négociations avec les Etats-Unis en vue d’établir un nouveau cadre fiable pour régir les transferts de données à caractère personnel.
Dans l’intervalle, les entreprises doivent se conformer à l’arrêt de la Cour et recourir à d’autres outils de transfert, si elles en disposent.
Dans son communiqué, la Commission insiste sur les points suivants :
– l’accord sur la sphère de sécurité ne peut plus servir de base juridique pour les transferts de données à caractère personnel vers les Etats-Unis ;
– la Commission poursuivra et achèvera les négociations visant à la définition d’un nouveau cadre solide pour régir les transferts transatlantiques de données à caractère personnel, qui devra respecter les conditions énoncées dans l’arrêt, notamment en ce qui concerne les limitations et les garanties entourant l’accès des autorités publiques américaines à ces données ;
– il conviendra de modifier d’autres décisions constatant le caractère adéquat du niveau de protection des données, pour s’assurer que les autorités nationales de protection des données restent libres d’instruire les plaintes de particuliers.
La communication de la Commission présente d’autres bases possibles pour les transferts de données à caractère personnel vers les Etats-Unis, sans préjudice de l’indépendance et des pouvoirs dont jouissent les autorités chargées de la protection des données pour examiner le caractère licite de ces transferts.
Les entreprises peuvent actuellement poursuivre les transferts de données sur la base des dispositifs suivants :
– Solutions contractuelles : les règles contractuelles doivent satisfaire à un certain nombre dobligations, notamment l’adoption de mesures de sécurité, linformation de la personne concernée en cas de transfert de données sensibles, etc. Des modèles de clauses contractuelles types sont disponibles ici.
– Règles dentreprise contraignantes applicables aux transferts intragroupe : ces règles permettent aux données à caractère personnel de circuler librement entre les différentes entités dune entreprise multinationale. Elles doivent être approuvées par lautorité de protection des données de chaque État membre à partir duquel la multinationale entend transférer des données.
Dérogations :
– pour la conclusion ou l’exécution d’un contrat (y compris dans des situations de nature précontractuelle, par exemple, pour réserver un vol ou une chambre d’hôtel aux Etats-Unis, des données à caractère personnel peuvent être transférées) ;
– pour la constatation, l’exercice ou la défense d’un droit en justice ;
– lorsque la personne concernée a donné son consentement libre et éclairé, dans le cas où aucun autre motif de dérogation ne peut être invoqué.