CONTACT

Le SAFE HARBOR n’est plus !

04 octobre 2015 | Derriennic Associés |

Jusqu’à la décision rendue le 6 octobre 2015 par la CJUE, les transferts de données à caractère personnel vers les Etats-Unis étaient autorisés, dès lors que l’entreprise destinatrice avait adhéré aux principes du Safe Harbor et ce, en application d’une décision rendue le 26 juillet 2000 par la Commission européenne.

Le respect de ces principes – négociés entre les autorités américaines et la Commission européenne et portant notamment sur la sécurité des données, l’information des personnes ou encore l’exercice des droits d’accès et de rectification – permettait ainsi de garantir un niveau de protection suffisant.

C’est pourquoi, l’entreprise française pouvait opérer un transfert de données à caractère personnel vers une entreprise américaine ayant adhéré au Safe Harbor, sans qu’elle soit tenue de solliciter de la CNIL une autorisation.

Désormais la situation est tout autre.

En effet, la CJUE a, le 6 octobre 2015, invalidé la décision de la Commission européenne du 26 juillet 2000.

La raison invoquée est la suivante : la Commission européenne ne pouvait pas se limiter à la seule analyse du régime décrit dans le Safe Harbor pour apprécier le niveau de protection et ce, sans s’être assurée que les Etats-Unis garantissent effectivement, par leur législation et leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union européenne en vertu de la directive lue à la lumière de la Charte ». En effet, un tel dispositif serait dépourvu d’efficacité en termes de protection des données si les autorités américaines se vouaient reconnaître la faculté, au regard de la hiérarchie des normes, d’écarter les principes du Safe Harbor…

Faut-il, dans un tel contexte, suspendre tout transfert vers les Etats-Unis ?

Assurément non.

Dans l’attente d’une prise de position de la CNIL – qui a annoncé sur son site internet qu’elle va rencontrer prochainement ses homologues au sein du G29, afin de déterminer les conséquences juridiques et opérationnelles de l’arrêt de la CJUE sur l’ensemble des transferts intervenus dans le cadre du Safe Harbor – le statut quo est de mise.

S’agissant des projets en cours de négociation, il est possible de contourner la solution Safe Harhor et de conclure avec le partenaire américain des clauses contractuelles types, mais aussi de mettre en place, au sein d’un groupe de sociétés, des Binding Corporate Rules (BCR). Il est également possible de solliciter l’autorisation de la CNIL avant la mise en œuvre d’un tel transfert…

Qu’on se rassure, cette situation est transitoire.

A suivre….

Une personne peut être fichée « homosexuel », même sans son accord

Après avoir essuyé deux refus dans deux hôpitaux parisiens différents qui lui opposaient son homosexualité, M. X…, qui n’a pas pu faire un don du sang, a porté plainte et s’est constitué partie civile pour discrimination à raison de l’orientation sexuelle.

Alors que le juge d’instruction a rendu une ordonnance de refus d’informer, dès lors que les éléments constitutifs de l’infraction n’étaient pas réunis, la chambre de l’instruction, saisie par appel de la partie civile, a infirmé l’ordonnance au motif qu’il appartenait au juge de vérifier – ce qu’il n’a pas fait – si la mise et la conservation en mémoire de données à caractère personnel touchant à l’orientation sexuelle, sans le consentement de l’intéressé, étaient autorisés par la loi. A l’issue de l’information, le juge d’instruction a rendu une ordonnance de non-lieu. La partie civile a fait appel.

Après avoir relevé que M. X… avait fait l’objet d’une information adéquate lors de la collecte de ses données personnelles avant l’entretien médical préalable au don du sang, la Chambre criminelle de la Cour de cassation a, par un arrêt du 8 juillet 2015, écarté le moyen, considérant que « l’exception à l’exigence d’un consentement de la personne à l’enregistrement et à la conservation des données personnelles relatives à la santé ou à l’orientation sexuelle, qui découle des dispositions combinées des articles 226-19 du code pénal et 8 de la loi du 6 janvier 1978, constitue une mesure légitime, nécessaire à la protection de la santé, définie par la loi avec suffisamment de précision pour éviter l’arbitraire, et de nature à assurer, en l’état, entre le respect de la vie privée et la sauvegarde de la santé publique, une conciliation qui n’est pas déséquilibrée ».

En conséquence, il ne saurait être reproché à un hôpital de conserver certaines données considérées comme sensibles en application de la loi du 6 janvier 1978 et ce, même sans le consentement des personnes intéressées.