{"id":48,"date":"2015-11-10T08:41:58","date_gmt":"2015-11-10T08:41:58","guid":{"rendered":"http:\/\/www.boullier.fr\/valentin\/2015\/11\/10\/Publication-des-orientations-de-la-Commission-europ\u00e9enne-relatives-aux-transferts-de-donn\u00e9es-\u00e0-caract\u00e8re-personnel"},"modified":"2015-11-10T08:41:58","modified_gmt":"2015-11-10T08:41:58","slug":"2015-11-10-publication-des-orientations-de-la-commission-europeenne-relatives-aux-transferts-de-donnees-a-caractere-personnel","status":"publish","type":"post","link":"https:\/\/www.boullier-avocat.fr\/index.php\/2015\/11\/10\/2015-11-10-publication-des-orientations-de-la-commission-europeenne-relatives-aux-transferts-de-donnees-a-caractere-personnel\/","title":{"rendered":"Publication des orientations de la Commission europ\u00e9enne relatives aux transferts de donn\u00e9es \u00e0 caract\u00e8re personnel"},"content":{"rendered":"

La Commission europ\u00e9enne a publi\u00e9, le 6 novembre, des orientations relatives aux transferts de donn\u00e9es \u00e0 caract\u00e8re personnel entre les \u00c9tats membres de l’Union europ\u00e9enne et les \u00c9tats-Unis. En effet, suite \u00e0 l’arr\u00eat Schrems <\/em>(C362-14) invalidant le Safe Harbor<\/em> (\u00ab Sph\u00e8re de s\u00e9curit\u00e9 \u00bb), de nombreuses questions avaient \u00e9t\u00e9 soulev\u00e9es au regard des transfert de donn\u00e9es \u00e0 caract\u00e8re personnel. La Commission europ\u00e9enne d\u00e9livre donc ses orientations afin que les entreprises utilisant la sph\u00e8re de s\u00e9curit\u00e9 puissent continuer \u00e0 exercer leur activit\u00e9 sereinement, en attendant la fin des n\u00e9gociations entre l’Union europ\u00e9enne et les \u00c9tats-Unis. <\/p>\n

Dans cette communication, la Commission europ\u00e9enne rappelle que les n\u00e9gociations avec les \u00c9tats-Unis ont d\u00e9but\u00e9 d\u00e8s janvier 2014. L’int\u00e9r\u00eat pour ces n\u00e9gociations a \u00e9t\u00e9 rapidement raviv\u00e9 apr\u00e8s l’arr\u00eat Schrems<\/em>, le groupe de l’article 29 ayant, par le biais d’une d\u00e9claration en date du 16 octobre (disponible ici<\/a>), rappel\u00e9 que les autorit\u00e9s nationales de protection des donn\u00e9es \u00e0 caract\u00e8re personnel seraient susceptibles de \u00ab prendre toutes les actions n\u00e9cessaires et ad\u00e9quates \u00bb, dans l’hypoth\u00e8se o\u00f9 une solution n’aurait pas \u00e9t\u00e9 trouv\u00e9e d’ici fin janvier 2016. Le communiqu\u00e9 indique \u00e9galement, de mani\u00e8re explicite, que des actions coercitives pourraient \u00eatre men\u00e9es dans cette hypoth\u00e8se. Enfin, le groupe de travail de l’article 29 souligne la n\u00e9cessit\u00e9 de relancer les n\u00e9gociations avec les \u00c9tats-Unis, en indiquant que \u00ab dans tous les cas, les transferts op\u00e9r\u00e9s sous l’\u00e9gide du Safe Harbour apr\u00e8s le jugement de la CUJE sont ill\u00e9gaux \u00bb. <\/p>\n

La protection des int\u00e9r\u00eats \u00e9conomiques \u00e9tant l’une des priorit\u00e9s de la Commission europ\u00e9enne, celle-ci indique que les transferts peuvent \u00eatre op\u00e9r\u00e9s en attendant la conclusion d’un accord, dans le cadre des SCC (\u00ab Standard Contractual Clauses \u00bb)<\/em> et des BCR (\u00ab Binding Corporate Rules \u00bb)<\/em>. Enfin, la Commission rappelle les hypoth\u00e8ses pour lesquelles des d\u00e9rogations peuvent s’appliquer. <\/p>\n

Les SCC peuvent \u00eatre introduites \u00ab dans le but de compenser, de mani\u00e8re satisfaisante, l’absence d’un niveau ad\u00e9quat de protection, en incluant les \u00e9l\u00e9ments essentiels de protection manquants dans une situation particuli\u00e8re donn\u00e9e \u00bb. Des mod\u00e8les de clauses sont disponibles dans la d\u00e9cision 2001\/497\/EC du 15 juin 2001 de la Commission europ\u00e9enne (disponible ici<\/a>). L’int\u00e9r\u00eat des SCC est simple : en effet, celles-ci doivent \u00eatre accept\u00e9es par les autorit\u00e9s nationales de protection. La Commission note cependant que ces autorit\u00e9s peuvent examiner \u00e0 nouveau les SCC \u00e0 la lumi\u00e8re de l’arr\u00eat Schrems et porter une affaire devant la juridiction comp\u00e9tente. De m\u00eame, elle pr\u00e9cise que certains \u00c9tats dispose d’un stratag\u00e8me de notification ou de pr\u00e9-autorisation pour l’utilisation des SCC : \u00ab si les clauses ont \u00e9t\u00e9 utilis\u00e9es sans amendement, l’autorisation est en principe accord\u00e9e automatiquement \u00bb. <\/p>\n

Toujours au niveau contractuel, la Commission rappelle, dans sa communication, que les entreprises peuvent user d’arrangements contractuels ad hoc<\/em>, afin de d\u00e9montrer que les transferts sont op\u00e9r\u00e9s avec des garanties suffisantes au sens de l’article 26 de la directive 95\/46\/EC \u00bb. Cependant, dans cette hypoth\u00e8se, ces clauses devront \u00eatre examin\u00e9es par l\u2019autorit\u00e9 nationale de protection. <\/p>\n

Outre les SCC, la Commission mentionne les BCR pouvant \u00eatre mises en place par les soci\u00e9t\u00e9s d’un m\u00eame groupe. Les citoyens peuvent ais\u00e9ment utiliser ces BCR pour assurer la protection de leurs donn\u00e9es \u00e0 caract\u00e8re personnel : en effet, ceux-ci peuvent d\u00e9poser un recours devant la juridiction comp\u00e9tente (ou devant l’autorit\u00e9 de protection nationale, comme la CNIL pour la France) dans le but de faire appliquer les BCR si celles-ci ne sont pas respect\u00e9es par le groupe ou l’une de ses filiales. Cette possibilit\u00e9 est par ailleurs renforc\u00e9e par la nomination d’une \u00ab entit\u00e9 \u00bb europ\u00e9enne par-devant laquelle le recours pourra \u00eatre d\u00e9pos\u00e9. Ces BCR doivent par ailleurs r\u00e9pondre \u00e0 plusieurs conditions formelles. <\/p>\n

Des d\u00e9rogations existent \u00e9galement : ainsi, une entreprise pourra op\u00e9rer un transfert entre un \u00c9tat-membre de l’Union et un \u00c9tat tiers, notamment si la personne a donn\u00e9 son consentement \u2013 expr\u00e8s – au transfert ou si celui-ci est \u00ab n\u00e9cessaire pour l’ex\u00e9cution ou la conclusion d’un contrat \u00bb. D’autres d\u00e9rogations peuvent \u00eatre utilis\u00e9es, comme la sauvegarde des \u00ab int\u00e9r\u00eats vitaux \u00bb de la personne. L’interpr\u00e9tation de ces d\u00e9rogations est cependant stricte. <\/p>\n

Les SCC, BCR et d\u00e9rogations partagent des points communs :  pour que ces outils puissent s’appliquer, et ainsi permettre le transfert de donn\u00e9es \u00e0 caract\u00e8re personnel malgr\u00e9 l’invalidation du Safe Harbour, ceux-ci doivent r\u00e9pondre \u00e0 deux conditions. D’une part, la collecte de donn\u00e9es \u00e0 caract\u00e8re personnel et le traitement de celles-ci doivent \u00eatre op\u00e9r\u00e9s par un responsable de traitement situ\u00e9 dans l’Union europ\u00e9enne<\/strong> dans le respect strict des dispositions en vigueur (par exemple, en France, la loi 78-17). D’autre part, les transferts r\u00e9alis\u00e9s doivent pr\u00e9senter des garanties suffisantes de protection.<\/strong> La Commission cite l’exemple des SCC ou des BCR, en expliquant que si \u00ab l’importateur de donn\u00e9es estime que la l\u00e9gislation applicable dans le pays de r\u00e9ception l’emp\u00eache de remplir ces obligations, il doit alors en informer promptement l’exportateur des donn\u00e9es situ\u00e9 dans l’Union europ\u00e9enne \u00bb. <\/p>\n

La communication de la Commission se conclut par le rappel de l’intensification des n\u00e9gociations d\u00e9but\u00e9es en 2013, suite \u00e0 l’arr\u00eat Schrems<\/em>. La Commission indique \u00e9galement que l\u2019objectif est de conclure les discussions et d’assurer le respect des conditions l\u00e9gales suite \u00e0 la d\u00e9cision de la Cour dans les trois mois. <\/p>\n

Pour aller plus loin :<\/strong><\/u><\/p>\n