Fin du Safe Harbor, premières sanctions en Allemagne
L’Autorité d’Hambourg a sanctionné les sociétés qui n’avaient pas pris en compte l’invalidation du Safe Harbor.
Dans un communiqué de presse (1), l’Autorité de protection des données à caractère personnelles d’Hambourg annonce qu’elle a contrôlé trente-cinq entreprises internationales effectuant des flux transfrontières de données vers les Etats-Unis. Suite à ce contrôle, des amendes ont été prononcées contre trois d’entre elles. A ce titre, la Commission a précisé avoir minoré ces amendes dans la mesure où ces sociétés avaient mis en place des clauses contractuelles types au cours de l’enquête.
L’invalidation du dispositif du Safe Harbor par la CJUE
Depuis l’invalidation du dispositif du Safe Harbor par la CJUE le 6 octobre 2015 (2), les sociétés effectuant des flux transfrontières de données vers les Etats-Unis ont eu pour indication (3) d’encadrer ces flux transfrontières hors de l’Union européenne de manière classique comme avec tout pays ne proposant pas un niveau de protection adéquat.
Par conséquent, il convenait que ces sociétés signent soit des binding corporate rules (BCR), soit des clauses contractuelles types avec les sociétés américaines concernées en attendant qu’un nouveau dispositif soit mis en œuvre.
Le Privacy Shield remplacera le Safe Harbor
Ce nouveau dispositif, dénommé Privacy Shield, qui devrait être adopté très prochainement, viendra remplacer le dispositif du Safe Harbor.
Or, pendant cette phase de transition, c’est aux entreprises concernées effectuant des flux transfrontières de données vers les Etats-Unis, de mettre en place un système intermédiaire. Or, cela n’est pas toujours mis en œuvre.
Phase de transition
Trois cas de figure se présentent depuis octobre 2015, concernant les sociétés effectuant des flux transfrontières de données vers les Etats-Unis :
- elles n’ont pas mis en œuvre d’autres mesures d’encadrement des flux transfrontières de données depuis la fin du Safe Harbor ;
- elles ont débuté la mise en œuvre de BCR ou de clauses contractuelles types ;
- elles ont signé des BCR ou des clauses contractuelles types avec les sociétés américaines concernées.
Défaut de mesures de protection complémentaires
Or, la Commission d’Hambourg vient de sanctionner le premier cas de figure à savoir les entreprises qui étaient couvertes par le dispositif du Safe Harbor et qui n’ont pas pris de mesures de protection complémentaires depuis octobre 2015 afin d’encadrer leurs flux transfrontières de données vers les Etats-Unis.
On peut rappeler que la Cnil, ainsi que ses homologues européens, avaient demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.
Cette date étant dépassée, le Privacy Shield étant toujours en discussion et les autorités commençant à prononcer des sanctions, il est recommandé aux sociétés françaises qui ne seraient pas en conformité concernant l’encadrement de leurs flux transfrontières de données vers les Etats-Unis d’y remédier rapidement.
Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés
(1) Communiqué de presse du 6-6-2016 de la « Cnil » de Hambourg (en allemand).
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner.
(3) Le Safe Harbor, présentation du 8-1-2016 par la Cnil.