En vigueur depuis 2000, le Safe Harbor prévoyait que les entreprises américaines se soumettant volontairement à un régime de protection des données personnelles conforme aux exigences de l’Union européenne étaient considérées comme assurant un niveau de protection adéquat. Avant la décision de la CJUE, environ 4 500 entreprises outre-Atlantique bénéficiaient de ce «label». «Une première remise en cause du Safe Harbor est intervenue en novembre 2013, après l’affaire Snowden, révélant que la NSA avait collecté des données personnelles à partir de certaines entreprises soumises au Safe Harbor, explique Winston Maxwell, associé de Hogan Lovells. La Commission européenne a alors émis une série de griefs et fait 13 recommandations demandant davantage de transparence ainsi qu’une plus grande rigueur dans l’application des sanctions contre les entreprises ne respectant pas les principes du Safe Harbor.» Malgré ces griefs, il a fallu attendre la décision de la CJUE pour invalider cet accord. Un arrêt qui implique d’importantes problématiques pour les sociétés européennes. «Les entreprises sont dans une situation de grande incertitude, car elles sont nombreuses à transférer des données personnelles vers des filiales ou des prestataires aux Etats-Unis sous ce régime. Or, il n’est pas possible d’interrompre ces transferts du jour au lendemain», poursuit l’avocat.

Des solutions existent

La semaine dernière, les autorités compétentes des pays de l’UE, réunies au sein du Groupe Article 29, ont accordé aux entreprises européennes jusqu’à fin janvier 2016 pour trouver une solution avec leurs filiales ou partenaires américains. Plusieurs solutions existent en effet pour pallier la nullité du Safe Harbor. «De nombreux transferts de données personnelles de l’Europe vers les Etats-Unis se font en dehors du cadre du Safe Harbor, souligne Thierry Dor, associé de Gide. Il existe notamment les clauses contractuelles types de la Commission européenne et les BCR («binding corporate rules»), ainsi que des exceptions de deux natures. D’une part, le consentement de l’individu, sous réserve qu’il soit totalement libre, et, d’autre part, les transferts répondant aux conditions prévues à l’article 69 de la loi informatique et libertés, concernant notamment les données nécessaires à la défense d’un droit en justice ou à l’exécution d’un contrat. Mais la CNIL a précisé que ces exceptions ne devaient pas s’appliquer dans le cadre de transferts massifs ou réguliers.»

Les entreprises, à l’image d’Atos, ayant déjà mis en place des BCR, sortes de compliances à l’échelle mondiale, pourront donc continuer à fonctionner ainsi. Toutefois, «les BCR ne concernent que les données transférées à l’intérieur d’un même groupe à travers le monde, et il s’agit d’un ensemble de règles relativement lourd à mettre en place, puisque cela prend environ un an», indique Winston Maxwell.

Outre les quelques exceptions prévues par la loi informatique et libertés, restent donc les clauses contractuelles types. Il s’agit d’un engagement, de la part de la filiale ou du prestataire recevant les données, à respecter les règles européennes. Une procédure beaucoup plus simple que les BCR. Toutefois, ces clauses et les BCR doivent systématiquement obtenir une autorisation de la CNIL avant d’être effectifs, contrairement au Safe Harbor.

Un Safe Harbor 2.0 imminent ?

«Certaines entreprises nourrissent l’espoir que la Commission européenne et le gouvernement américain règlent le problème avant fin janvier 2016 avec un Safe Harbor 2.0», note Thierry Dor. Le principal problème soulevé par la CJUE, ainsi que par la Commission européenne dans ses 13 recommandations de 2013, est l’impossibilité pour les citoyens européens de se plaindre d’une mauvaise utilisation de leurs données personnelles devant les juridictions américaines. «Ce point pourrait être résolu par l’adoption d’un amendement législatif aux Etats-Unis, dont la mise en œuvre semble toutefois difficile à l’approche des élections présidentielles américaines. Pour la Commission, il sera difficile de justifier un nouvel accord conforme à la décision de la CJUE si cette question n’est pas réglée. Parmi les autres questions à régler conformément aux 13 recommandations de la Commission, il y a également l’accès massif et non encadré aux données personnelles par les autorités américaines», précise l’associé de Gide.

Pour les entreprises françaises, il s’agit désormais d’agir vite dans un environnement complexe. «Elles vont devoir faire l’inventaire de tous les transferts de données personnelles réalisés sous le régime Safe Harbor en examinant tous les contrats. Chaque fois, elles devront se demander quelle solution alternative appliquer, ce qui nécessitera un travail très lourd. Le Safe Harbor était tellement simple qu’il ne nécessitait aucune documentation des transferts, ce qui rend aujourd’hui l’inventaire extrêmement complexe», relève Thierry Dor.