La commission européenne vient d’adopter, le 12 juillet 2016, une décision d’adéquation visant à reconnaître aux mécanismes EU–US Privacy Shield, le niveau de protection essentiellement équivalent aux exigences européennes définies par la directive 95/46/CE (1).
Cette adoption met fin à la période d’incertitude ouverte suite à l’invalidation de la décision d’adéquation du Safe Harbor par la Cour de Justice de l’Union européenne d’octobre 2015 (2).
Elle va permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis, sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise.
La décision d’adéquation entre vigueur après qu’elle ait été notifiée à chacun des états membres. Elle sera alors contraignante pour ces derniers.
Pour bénéficier de la décision d’adéquation, les entreprises américaines devront s’auto-certifier. Elles devront respecter les principes définis par l’UE – US Privacy Shield. Si ces principes doivent être respectés dès la certification, il existe néanmoins des dispositions transitoires pour les entreprises qui ont d’ores et déjà établi des relations commerciales.
Cette exception à l’application immédiate des principes du Privacy Shield s’explique par la recherche d’un équilibre entre la protection des données et le temps nécessaire pour les entreprises de s’adapter et se mettre en conformité avec ces nouveaux principes. En tout état de cause, ces entreprises doivent se mettre en conformité dès que possible et au plus tard dans les neuf mois qui suivent l’auto-certification pourvu que cette auto-certification soit mise en place sous les deux mois qui suivent le jour où l’accord Privacy Shield est devenu effectif. Ainsi, pour pouvoir bénéficier de la procédure d’adéquation dans le cadre de la mise en œuvre de flux de données vers les États-Unis, les responsables de traitement européens devront attendre que les entreprises américaines adhèrent au Privacy Shield.
Le département de commerce américain a annoncé qu’il commencerait à accepter les certifications à compter du 1er août 2016.
Si tout semble acquis, il ne faut pas oublier que la décision d’adéquation peut faire l’objet d’un recours devant la Cour de justice de l’Union européenne (CJUE). En effet, les actes des institutions de l’Union produisent des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés dans le cadre d’un recours en annulation ou déclarés invalide à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité. La CJUE est seule compétente pour constater la validité d’un acte de l’union conformément à l’article 263 du Traité traité sur le fonctionnement de l’Union européenne (TFUE).
Ce risque de recours existe compte tenu notamment des réserves effectuées par certains.
Par ailleurs, il convient de noter que les autorités nationales de contrôle saisies d’une demande même en présence d’une décision de la commission constatant qu’un pays tiers offre un niveau de protection adéquat des données, peuvent examiner si le transfert des données d’une personne vers ce pays respecte les exigences de la législation de l’Union relative à la protection de ces données. Elles peuvent également saisir les juridictions nationales au même titre que la personne concernée afin qu’elles procèdent à un renvoi préjudiciel au fin de l’examen par la CJUE de la validité de cette décision.
Enfin, compte tenu des difficultés rencontrées pour aboutir à cette décision d’adéquation, il est rassurant de relever que le règlement européen prévoit que les décisions d’adéquation rendues sur le fondement de l’article 25 § 6 de la directive 95/46/CE abrogée demeurent en vigueur jusqu’à leurs modifications, remplacement ou abrogation par une décision de la commission adoptée conformément à l’article 45 du règlement UE 2016/679.
Céline Avignon
Alain Bensoussan
(1) Décision adéquation du 12 juillet 2016 Bouclier vie privée UE-EU Privacy Shield EU-US (FR).
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner, voir notre post du 30-10-2015.