Recevez chaque jour toute l'actualité du numérique

x

Ce que les entreprises peuvent faire en attendant un Safe Harbor II

La décision de la CJUE étant d’application immédiate, depuis le 6 octobre 2015, tous transferts vers les Etats-Unis fondés sur le Safe Harbor sont invalides. Marc d’Haultfoeuille (Avocat Associé) et Nadège Martin (Avocat Of Counsel) de l’Equipe Technologie & Innovation de Norton Rose Fulbright, explique quoi faire en attendant un Safe harbor II.
Twitter Facebook Linkedin Flipboard Email
×

Ce que les entreprises peuvent faire en attendant un Safe Harbor II
Ce que les entreprises peuvent faire en attendant un Safe Harbor II

Force est d’admettre que la décision du 6 octobre 2015 par laquelle la Cour européenne de justice (CJUE) a déclaré invalide la décision Safe Harbor, sème un trouble auquel il n’existe aucune réponse juridique unanimement valable pour l’ensemble des entreprises concernées. Cette situation tient au fait qu’au-delà du contenu de cette décision, dont la portée demeure encore difficilement mesurable en l’absence de positionnement officiel des autorités de protection des données, d’autres paramètres doivent être pris en compte : le transfert est-il déjà effectif ? quelles sont ses finalités ? la loi nationale impose-t-elle des formalités préalables ?

 

Audit des transferts en cours

La décision de la CJUE étant d’application immédiate, depuis le 6 octobre 2015, tous transferts vers les Etats-Unis fondés sur le Safe Harbor sont invalides. Il est ainsi recommandé d’identifier rapidement les contrats et formalités déclaratives existants (ces transferts étaient soumis à simple notification auprès de la CNIL) afin de disposer des détails pertinents sur ces transferts.

 

Cet audit est nécessaire à l’identification des solutions alternatives envisageables à plus ou moins court terme, en l’état de la loi Informatique et Libertés ou sur la base des mesures qui pourraient être annoncées dans l’intervalle par la CNIL. A plus long terme, la décision Safe Harbor II en cours de discussion devrait être une solution pertinente mais il est difficile de prévoir sous quels délais elle sera adoptée.

 

Des délais à anticiper pour les transferts à court terme

La situation s’avère plus délicate pour les contrats en voie de conclusion pour lesquels le transfert était censé être fondé sur le Safe Harbor. En effet, sauf à pouvoir remplacer ce fondement par une exception légale ou des BCRs également soumis à simple notification préalable auprès la CNIL, les parties devront non seulement conclure des clauses contractuelles types (CCT) mais le responsable de traitement devra solliciter l’autorisation préalable de la CNIL au transfert. Or, obtenir cette autorisation peut prendre jusqu'à deux mois, voire plus, selon la loi. De plus, au vu des motifs de la décision rendue par la CJUE, le traitement de ces demandes par la CNIL est susceptible d'en être complexifié et en tout état de cause, allongé. Ces projets seront ainsi, pour beaucoup, dépendants des orientations qui seront prises par les autorités de protection des données.  

 

Marc d’Haultfoeuille (Avocat Associé) / Nadège Martin (Avocat Of Counsel), Equipe Technologie & Innovation, de Norton Rose Fulbright

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media