Le Groupe de l’article 29 s’est réuni le 15 octobre afin de tirer les conséquences de l’arrêt rendu par la Cour de justice de l’Union européenne le 6 octobre dernier invalidant la décision de la Commission européenne instaurant la sphère de sécurité. Les institutions européennes et les autorités américaines sont invitées à trouver des solutions avant la fin du mois de janvier 2016. A défaut, les autorités de protection pourraient procéder à des actions répressives coordonnées.

Les exigences du G29

Après avoir rappelé que la surveillance massive et indifférenciée effectuée par les institutions américaines est incompatible avec le cadre juridique européen de protection des données à caractère personnel, le G29 appelle tous les acteurs à rechercher, au plus vite, des solutions politiques, juridiques et techniques permettant de transférer les données vers le territoire américain dans le respect des droits fondamentaux.

Rappelons que des négociations relatives à la sphère de sécurité sont toujours en cours et qu’elles devraient aboutir à la définition de garanties nouvelles renforçant les droits des citoyens européens.

Cependant, le G29 insiste d’ores et déjà sur le fait que les solutions retenues devront notamment  inclure :

  • des mécanismes contraignants,
  • des obligations à la charge des autorités publiques américaines quant au contrôle des programmes de surveillance,
  • des recours au bénéfice des citoyens européens.

Entreprises, pensez aux outils alternatifs

Si les transferts de données personnelles fondés sur la sphère de sécurité ne sont dorénavant plus possibles, les entreprises ne restent pas pour autant sans alternative.

En effet, comme nous vous l’indiquions au lendemain de la décision, le G29 confirme que les entreprises responsables de traitement peuvent utiliser des clauses contractuelles types ou s’appuyer sur les règles internes d’entreprises pour transférer des données personnelles aux États-Unis.

Toutefois, il convient de garder à l’esprit que les autorités de contrôle ont la possibilité de contrôler les transferts Outre-Atlantique et ce notamment dans le cadre de plaintes dont elles pourraient être saisies. Par ailleurs, notons que le G29 examinera les répercussions de l’arrêt Schrems sur les clauses contractuelles types et les règles internes d’entreprises car ces instruments ne semblent pas de nature à faire obstacle à la surveillance massive des autorités américaines tant décriée.

Le Cabinet Mathias ne manquera pas de vous tenir informés des avancées des négociations et des recommandations formulées par la Cnil.