L’arrêt rendu le 6 octobre dernier par la Cour de justice de l’Union Européenne, dans la désormais fameuse affaire « Schrems » mettant un terme au principe du « Safe Harbor », a contraint la Commission Européenne à établir, avec le concours des Etats-Unis, un nouveau cadre juridique permettant d’assurer un niveau de protection adéquat dans le cadre de transferts de données à caractère personnel.

Cet accord étant actuellement en négociations, les sociétés confrontées au transfert de données à caractère personnel vers les Etats-Unis vont devoir recourir à d’autres moyens.

La Commission Européenne a publié le 6 novembre 2015 des orientations sur les possibilités de transfert transatlantique de données personnelles lesquelles seront applicables jusqu’à la mise en place d’un nouveau cadre devant intervenir dans un délai de trois mois.

Aux termes de cette communication, la Commission présente différentes solutions relatives à un transfert de données à caractère personnel vers les Etats-Unis tout en veillant à ne pas priver les autorités nationales en charge du contrôle de tels transferts de leurs prérogatives.

Ainsi, la Commission rappelle notamment que :

➢ l’accord sur la sphère de sécurité ne peut plus servir de base juridique pour les transferts de données à caractère personnel vers les États-Unis ;

➢ des négociations visant à la définition d’un nouveau cadre solide pour régir les transferts transatlantiques de données à caractère personnel seront « poursuivies » et « achevées » afin que celui-ci respecte les conditions énoncées dans l’arrêt du 6 octobre dernier (notamment en ce qui concerne les limitations et les garanties entourant l’accès des autorités publiques américaines à ces données) ;

➢ plusieurs décisions constatant le caractère adéquat du niveau de protection des données devront désormais être modifiées, afin de s’assurer que les autorités nationales de protection des données restent libres d’instruire les plaintes de particuliers.

A l’heure actuelle, les sociétés peuvent réaliser de tels transferts au moyen de règles contractuelles (I), des Binding Corporate Rules (II) ou encore des dérogations prévues à cet effet (III).

1. Concernant les règles contractuelles

Ainsi que le rappelle la Commission, un transfert de données à caractère personnel peut être réalisé au moyen des clauses contractuelles types telles qu’approuvées par les décisions 2001/497/EC et 2004/915 sous réserve que soient adoptées des mesures de sécurité suffisantes pour garantir un niveau de protection fiable.

En outre, la Commission ne manque pas de rappeler que le transfert de données sensibles (à savoir celles directement liées à l’origine ethnique, raciale, politique, religieuse, à la santé ou au sexe d’une personne) doit impérativement nécessiter l’information et le consentement de la personne concernée.

2. Concernant les Binding Corporate Rules

Ces règles permettent d’offrir une protection adéquate aux données transférées depuis l’Union Européenne vers des pays tiers au sein d’une même entreprise ou d’un même groupe.

Elles constituent un véritable « code de conduite » interne qui doit être respecté par l’intégralité des sociétés d’un groupe et ce, quelque soit leur pays d’implantation.

Cet ensemble de règle constitue par conséquent une véritable alternative aux clauses contractuelles types sous réserve d’être approuvées par l’autorité de protection des données de chaque Etat dans lequel une société souhaite transférer des données.

3. Les dérogations

La Commission Européenne rappelle néanmoins qu’il existe certaines dérogations au principe du transfert transatlantique de données personnelles telles que rappelées à l’article 26 de la directive 95/46 CE du 24 octobre 1995.

Ainsi qu’en dispose cet article, les États membres peuvent prévoir qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être notamment effectué, dès lors que :

➢ la personne concernée a donné son consentement au transfert envisagé ou

➢ le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée ou,

➢ le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ;

➢ le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice ;

➢ le transfert est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée.

Tel est le cas notamment du transfert de données personnelles réalisé dans le cadre de l’exécution d’un contrat de transport ou de location impliquant la communication de telles données.

Sont également concernées par cette dérogation, tout transfert de données réalisé dans le cadre de la constatation, l’exercice ou la défense d’un droit en justice ainsi que les cas où la personne concernée a donné « son consentement libre et éclairé » et « où aucun autre motif de dérogation ne peut être invoqué  ».

Ainsi et dans l’attente d’un cadre juridique en parfaite conformité avec la solution dégagée dans l’arrêt SCHREMS, les entreprises souhaitant réaliser des transferts de données personnelles vers des pays tiers devront recourir aux moyens précités afin de se conformer à la décision de la Cour de Justice de l’Union Européenne.

Jonathan ELKAIM - Avocat au Barreau de Paris