Le G29 s'est réuni le 15 octobre 2015 pour analyser les conséquences de la décision de la CJUE du 6 octobre 2015 invalidant le "
Safe Harbor" (CJUE, 6 octobre 2015, aff. C-362/14
N° Lexbase : A7248NSA ; lire
N° Lexbase : N9505BUL). Les "CNIL européennes" ont adopté une approche commune sur la question, en demandant aux institutions européennes et aux gouvernements concernés de trouver, avant le 31 janvier 2016, des solutions juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux. De telles solutions pourraient intervenir dans le cadre de négociations d'un accord intergouvernemental offrant des garanties fortes aux citoyens européens. Les négociations actuelles portant sur un nouvel accord "
Safe Harbor" pourraient constituer une partie de la solution. Dans tous les cas, ces solutions devront s'appuyer sur des mécanismes clairs et contraignants et comporter au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l'existence de mécanismes de recours et la protection des droits des personnes. En parallèle, le G29 poursuit son analyse de l'impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) mais considère que durant cette période, ces outils peuvent encore être utilisés par les entreprises. Les autorités de protection des données se réservent néanmoins la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu'elles pourraient recevoir. Si aucune solution satisfaisante n'était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 et en fonction de l'évaluation en cours des outils de transferts par le G29, les autorités s'engagent à mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées. Au regard de la décision de la CJUE, il apparaît très clairement que les transferts de données depuis l'Union européenne vers les Etats-Unis ne sont plus possibles sur la base de la décision de "
Safe Harbor" du 26 juillet 2000. En tout état de cause, les transferts qui s'opèreraient encore sur cette base juridique sont illégaux. Enfin, le G29 insiste sur les responsabilités partagées des autorités de protection, des institutions européennes, des Etats membres et des entreprises pour élaborer des solutions robustes. Dans ce contexte, les entreprises doivent, en particulier, mettre en oeuvre des solutions juridiques et techniques pour limiter les risques éventuels qu'elles prennent en transférant des données à l'étranger, quant au respect des droits fondamentaux des personnes (source : CNIL,
article du 16 octobre 2015).
© Reproduction interdite, sauf autorisation écrite préalable