La CNIL diffuse ses lignes directrices suite à l’annulation du Safe Harbor

Article et F.A.Q. publiés par la CNIL sur son site internet

Suite à l’arrêt de la CJUE invalidant la décision « Safe Harbor » de la Commission européenne, la CNIL a publié le 19 novembre 2015 quelques lignes directrices à destination des entreprises transférant des données personnelles aux Etats-Unis. Dans les jours qui ont suivi, elle a communiqué ces lignes directrices directement aux responsables de traitement qui ont déclaré auprès d’elle un traitement de données comprenant un transfert hors Union Européenne sur la base du Safe Harbor.

La CNIL rappelle en premier lieu que l’annulation de la décision « Safe Harbor » de la Commission européenne du 26 juillet 2000 rend désormais impossible la réalisation des transferts de données à destination des Etats-Unis sur cette base. Suite à cette décision, le G29 qui rassemble les homologues européens de la CNIL s’était réuni le 15 octobre 2015. Le G29 a appelé les institutions et gouvernements européens à adopter un nouveau cadre juridique en remplacement de la décision invalidée de la Commission, et ce avant le 31 janvier 2016.

Jusqu’à cette date, la CNIL invite donc les responsables de traitement à utiliser l’une des alternatives à ce mécanisme.

Ces alternatives sont déjà connues et sont utilisées par les entreprises pour les transferts de données personnelles hors de l’UE, dans des pays ne bénéficiant pas d’une décision de la Commission déclarant que celui-ci assure un niveau de protection adéquat des données. Il s’agit en premier lieu des clauses contractuelles types provenant des décisions de la Commission de 2001 et de 2004 et en second lieu des « Binding Corporate Rules », pour les transferts entre entreprises d’un même groupe, dont la rédaction peut prendre appui sur le modèle adopté par le G29 le 24 juin 2008.

L’adoption de ces mécanismes alternatifs n’est cependant pas suffisante dans de nombreux cas. En effet, pour les responsables de traitement qui ont procédé à une déclaration normale de traitement de données mentionnant un transfert sur la base du Safe Harbor, il faudra procéder à la modification de ces déclarations, en précisant la nouvelle base choisie pour le transfert.

Après instruction du dossier, la CNIL délivrera le cas échéant une autorisation de transfert sur cette nouvelle base. En revanche, les traitements déclarés sur la base des normes simplifiées n° 46 et 48 ne nécessiteront pas de nouvelles formalités déclaratives, car ces normes autorisent en amont les transferts de données hors de l’UE, à la condition qu’un des mécanismes juridiques encadrant ce transfert soit mis en place par le responsable de traitement. La CNIL invite donc les entreprises à préférer ces normes simplifiées lorsque cela est possible.

La pérennité de ces mécanismes alternatifs reste toutefois incertaine. La CNIL précise en effet que leur utilisation est « permise » jusqu’au 31 janvier 2016, mais que le G29 continue à analyser l’impact que la décision de la Cour de justice du 15 octobre 2015 peut avoir eu sur ces instruments. A l’issue de ce délai, les différentes autorités européennes se réservent la possibilité d’utiliser leurs pouvoirs pour suspendre ou même interdire les transferts vers les Etats-Unis. La CNIL invite donc les entreprises à repenser l’organisation même de leurs transferts de données, afin de limiter les éventuelles conséquences négatives sur leur activité.

Sylvain NAILLAT

Téléchargez cet article au format .pdf