Men view sky / Source : Life-of-Pix http://www.lifeofpix.com/ Auteur: LEEROY / Domaine public

Protection des données nominatives dans l’UE

Protection des données nominatives dans l’Union : invalidation de la décision Safe Harbor. A l’origine de cette jurisprudence, l’autorité irlandaise de protection des données a refusé d’enquêter sur une plainte de M. Schrems relative au transfert de ses données nominatives par Facebook vers les Etats-Unis (CJUE, 6 octobre 2015, Schrems c. Data Protection Commissioner, Aff. C-362/14).

Invalidation de la décision Safe Harbor en matière de données nominatives

La directive n°95/46/CE a instauré un système garantissant, sur le territoire de l’Union, un traitement des données nominatives respectueux des droits fondamentaux de la personne. Les transferts de données hors de l’Union Européenne (UE) sont envisageables lorsque l’environnement juridique et sectoriel du pays destinataire assure une protection adéquate des données. La Commission Européenne a certifié que les entreprises américaines, offraient un niveau de protection suffisant. Ce système reposait sur un mécanisme d’auto-certification des entreprises américaines (Décision 2000/520 dite « sphère de sécurité » ou Safe Harbor).

Le 6 octobre 2015, la Cour de Justice de l’Union Européenne (CJUE) a annulé la décision Safe Harbor. La High Court of Ireland avait saisi la CJUE d’une question préjudicielle : une autorité nationale de contrôle peut-elle enquêter sur une plainte alléguant qu’un pays n’assure pas un niveau de protection adéquat des données personnelles, malgré l’auto-certification de la Commission ?

La CJUE considère que l’auto-certification octroyée par la Commission ne limite pas les pouvoirs de contrôle des autorités nationales. Ces dernières doivent examiner, en toute indépendance, si le transfert des données nominatives est conforme à la Charte des droits fondamentaux de l’UE.

En pratique, la décision Safe Harbor consacrait la primauté des impératifs de sécurité nationale et des lois des Etats-Unis, au détriment du droit au respect de la vie privée. Les autorités publiques américaines pouvaient accéder, de manière généralisée, au contenu des communications électroniques. Cette atteinte était d’autant plus grave que le justiciable ne disposait pas de voie de droit lui permettant d’accéder, rectifier ou supprimer ses données, portant une grave atteinte au droit à une protection juridictionnelle effective.

La décision 2000/520 est donc invalide.

Les recommandations de la CNIL en matière de données nominatives

La disparition de cette décision met un certain nombre d’entreprises dans l’embarras. Les effets de cet arrêt seront effectifs à compter du 1er février 2016.

En attendant les conclusions du groupe de travail du G29 sur les conséquences juridiques de cet arrêt, les entreprises sont tenues de procéder à une déclaration normale accompagnée de la signature des clauses contractuelles types ou de la mise en place de règles internes d’entreprise validées par la CNIL.