Décisions d’exécution de la Commission européenne n° 2016/2295 et 2016/2297
Après l’invalidation du Safe Harbor, les clauses contractuelles types et le Privacy Shield sont dans le viseur des régulateurs européens.
Suite à l’arrêt rendu par la CJUE le 6 octobre 2015 dans l’affaire C-362/14 Schrems, ayant invalidé le SAFE HARBOR, les entreprises transférant des données personnelles de citoyens européens hors UE se sont tournées vers deux autres outils de transfert offerts par la règlementation européenne :
- les décisions relatives aux clauses contractuelles types (CCT),
- les décisions constatant le niveau de protection adéquat des données personnelles assuré par certains pays (2012/484/UE et 2013/65/UE).
Or, ces outils présentent les mêmes défauts que ceux ayant conduit la CJUE à annuler le SAFE HARBOR, si bien que les clauses contractuelles types, seul outil permettant les transferts à grande échelle vers les USA (avant l’entrée en vigueur du PRIVACY SHIELD), font également l’objet d’un recours en annulation.
C’est probablement pour éviter tout risque d’invalidation par la CJUE, que la Commission a décidé de changer, dans l’urgence, le 16 décembre dernier, ses décisions sur les CCT ainsi que les décisions d’adéquation des législations étrangères (Décisions d’exécution 2016/2295 et 2016/2297).
Ces modifications seront-elles suffisantes pour assurer la validité de ces outils de transfert ?
Rien n’est moins sûr selon le G29 qui regrette que la Commission européenne ne soit pas allée suffisamment loin. Ces récents développements jettent un nouveau doute sur la robustesse du PRIVACY SHIELD, lui-même objet de plusieurs recours en annulation, dans un contexte d’inquiétude grandissante quant à la volonté du nouveau gouvernement américain d’assurer un niveau de protection adéquat aux données personnelles des citoyens européens, suite à la publication du Décret présidentiel Immigration le 27 janvier dernier.
Il est plus important que jamais d’agir avec précaution en matière de transfert international des données.