Le régime dit du Safe Harbor permettait aux entreprises américaines de transférer des données personnelles vers les États-Unis, mais, le 6 octobre dernier, la Cour de Justice de l’Union a indiqué que cet accord vieux de 15 ans ne remplissait plus les exigences européennes en matière de protection des données. Les États et institutions de l’Union européenne ont donc entamé des discussions avec les autorités américaines afin de trouver « des solutions politiques, juridiques et techniques permettant des transferts de données vers le territoire de la États-Unis respectant les droits fondamentaux. »
1 - Les obligations ne s’appliquent qu’aux données personnelles
Avant d’être invalidé par la Cour de Justice de l’Union européenne, l'accord Safe Harbor ou « sphère de sécurité », permettait de concilier la directive européenne de 1998 sur la protection des données avec l’approche américaine de la vie privé, moins rigoureuse. Selon cette directive, il est interdit de transférer des données personnelles vers des pays non membres de l’Union s’ils ne peuvent assurer un niveau de protection au moins équivalent des données. Ce qui était le cas des États-Unis. Cependant, si une entreprise transfère des données de production ou des données environnementales, elle peut continuer à le faire comme avant.
2 - Il existe d’autres solutions pour transférer des données légalement
La directive prévoit d'autres mécanismes juridiques que les entreprises peuvent utiliser pour transférer des données personnelles en dehors de l'UE, que ce soit aux États-Unis ou ailleurs, notamment des clauses contractuelles types, un consentement éclairé, et des règles d'entreprise contraignantes. Si vous travaillez pour une multinationale, votre entreprise a peut-être déjà mis en place des règles contraignantes garantissant la protection des données à caractère personnel qu’elle est amenée à échanger avec ses filiales.
3 - Votre fournisseur cloud a peut être déjà pris les mesures appropriées
Bien que Amazon Web Services et Microsoft Azure étaient enregistrées au programme Safe Harbor, cela ne signifie pas qu’elles ne sont plus en état de transférer les données de leurs clients. Leurs contrats comportent déjà des clauses types approuvées par les autorités de protection des données européennes selon lesquelles elles s’engagent à protéger de manière adéquate les informations personnelles qu’elles transfèrent.
4 - Certaines alternatives au Safe Harbor ne sont pas adaptées
De nombreux observateurs ont fait remarquer que les alternatives à l’accord Safe Harbor présentaient les mêmes défauts que ceux qui ont amené les juges de la CJUE à invalider la « sphère de sécurité », et elles pourraient même être contestées juridiquement. Les différentes autorités de protection des données européennes ont déclaré qu'elles continueraient, pour l’instant, à accepter les solutions de rechange. Mais cette décision ne convient pas aux autorités de protection régionales allemandes qui ont refusé d'approuver de nouvelles clauses contractuelles types et ont demandé aux entreprises de ne plus transférer de données personnelles.
5 - Le 31 janvier, date butoir pour un nouvel accord
Les autorités européennes de protection des données ont donné jusqu’au 31 janvier à la Commission européenne pour conclure un nouvel accord Safe Harbor avec les Etats-Unis. Elles attendent aussi des entreprises qu’elles trouvent avant cette date une alternative au Safe Harbor, au cas où aucun accord n’est conclu. Jusque-là, elles ont promis (mis à part l'Allemagne) de ne pas vérifier ou de ne pas poursuivre les entreprises qui exportent des données personnelles aux États-Unis.