Dans la foulée de la décision d'invalidation par la CJUE de l'accord de la Commission européenne sur les transferts de données personnelles transatlantiques (notre actualité du 9 octobre), le G29 a pris position et émis quelques avertissements à l'adresse des instances de l'Union et des États membres.
Suivi de l'affaire par le G29
La CNIL et ses homologues européens (G29) se sont réunis le 15 octobre pour analyser les conséquences de la décision de la Cour de Justice de l’Union européenne du 6 octobre 2015 invalidant le safe harbor. Elles ont adopté une approche commune sur la question, en demandant aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques avant le 31 janvier 2016.
Les autorités de protection rappellent leurs mises en garde
Le G29 souligne notamment que la question de la surveillance massive et indiscriminée est au cœur de l’arrêt de la CJUE invalidant la décision sur le Safe Harbor du 26 juillet 2000. Il rappelle qu’il a toujours considéré qu’une telle surveillance était incompatible avec le cadre juridique européen et que les outils de transferts ne pouvaient constituer une solution à ce problème.
Les instances européennes et les États membres invités à trouver très vite des solutions
Le G29 demande donc aux États membres et aux institutions européennes d’engager au plus vite les discussions avec les autorités américaines afin de trouver des solutions politiques, juridiques et techniques permettant de transférer des données vers le territoire américain dans le respect des droits fondamentaux.
En attendant des solutions concrètes…
En parallèle, le G29 poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils de transfert (BCR, clauses contractuelles types) mais considère que durant cette période, ces outils peuvent encore être utilisés par les entreprises. Les autorités de protection des données se réservent néanmoins la possibilité de contrôler certains transferts, notamment à la suite des plaintes qu’elles pourraient recevoir.
À défaut de solution, les autorités pourront continuer à agir, y compris par voie de sanctions
Si aucune solution satisfaisante n’était trouvée avec les autorités américaines avant la fin du mois de janvier 2016 et en fonction de l’évaluation en cours des outils de transferts par le G29, les autorités s’engagent à mettre en œuvre toutes les actions nécessaires, y compris des actions répressives coordonnées.
Les transferts de données entre Union européenne et États-Unis pour le moment illégaux
Au regard de la décision de la CJUE, il apparait très clairement que les transferts de données depuis l’Union Européenne vers les Etats-Unis ne sont plus possibles sur la base de la décision de Safe Harbor du 26 juillet 2000. En tout état de cause, les transferts qui s’opèreraient encore sur cette base juridique sont illégaux.
Source : Communiqué de la Cnil en date du 16 octobre.
Un discours de fermeté
On le voit, le G29 tient un discours de fermeté qui montre que ce groupe de travail constitue pour l'Union européenne ce qu'est notre Cnil pour l'État français : une autorité indépendante.
On peut également lire, entre les lignes, par delà le langage diplomatique qui sied à ces milieux, un certain agacement — pour dire le moins — du groupe de travail qui a toujours mis en garde contre l'accord qui malgré tout a été signé les yeux fermés par les instances de la Commission, au mépris de la protection des citoyens européens.
En savoir plus
Voir le communiqué de la Cnil dans sa version complète :
http://www.cnil.fr/nc/linstitution/actualite/article/article/safe-harbor-le-g29-demande-aux...
Voir le communiqué du G29 en date lui aussi du 16 octobre 2015 (en anglais – pdf, 72 Ko) :
http://www.cnil.fr/fileadmin/documents/Communications/20151016..._judgement.pdf