« Bouclier de Justice » (jpra)
QUID DE LA LEGALITE DES TRANSFERTS INTERNATIONAUX DE DONNEES PERSONNELLES ?
Nombreux sont les « Facebookers » à s’interroger – tout à fait légitimement – sur la légalité de l’exploitation et du transfert de leurs données personnelles par Facebook, en l’occurrence vers les Etats-Unis.
Car, ce sont les droits fondamentaux de tout un chacun qui sont en cause, ceux en tout cas relatifs à son image, à son état, et à son identification personnels.
Un arrêt de la Cour de Justice de l’Union Européenne en date du 6 octobre 2015 vient trancher de façon nette la question.
Faisant incontestablement jurisprudence, ses dispositifs s’imposent à toutes les instances des Etats membres de l’Union Européenne, et ce rétroactivement.
Mais, on peut aussi imaginer que ces dispositifs puissent servir de référence jurisprudentielle à toute autre juridiction hors Union Européenne…
Nous remercions vivement le Cabinet De Gaulle Fleurance & Associés de nous avoir transmis une communication consacrée à cet arrêt important de la Cour de Justice de l’Union Européenne, et de nous autoriser à la publier en intégralité dans « LaboDiplo, l’ouverture à l’international ».
Chacun pourra ainsi mesurer successivement :
. les points majeurs de cet arrêt ;
. les principales conséquences à en retenir ;
. et les recommandations qui s’imposent.
Voici, ci-après, cette communication.
Jean-Pierre Razafy-Andriamihaingo
« Rosace » (JPRA) – Maquette de vitrail –
Si vous n’arrivez pas à lire ce message, accédez à la version en ligne.
De Gaulle Fleurance & Associés | Safe Harbor : Actualité / News
Actualité / News
Octobre / October 2015
Version française
Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a déclaré invalide la décision de la Commission européenne portant sur le Safe Harbour US adoptée en 2000. Aux termes de cet accord, il était jusqu’à présent considéré que les données personnelles transférées de l’Union Européenne vers les Etats Unis bénéficiaient d’un niveau suffisant de protection.
Voici les principaux points de cet arrêt que nous estimons être intéressants pour votre entreprise.
1. Quels sont les points majeurs de cet arrêt ?
(i) L’ affaire portée devant la plus haute juridiction irlandaise (Irish High Court) par un citoyen autrichien, M. Schrems, concerne le transfert de données personnelles vers les Etats-Unis par une filiale irlandaise de Facebook.
(ii) L’arrêt de la CJUE, saisie dans le cadre d’une question préjudicielle, suit les conclusions de l’avocat général M. Yves Bots rendues le 23 septembre 2015 arguant que le Safe Harbour US devait être annulé.
(iii) Malgré de nombreuses critiques de la part des Etats-Unis, la Cour de justice considère que la Commission européenne ne s’est pas assurée que les Etats-Unis garantissaient effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, comme elle était tenue de le faire.
(iv) Selon la Cour de justice, la Commission européenne ne peut priver les autorités nationales du pouvoir de contrôler les transferts des données personnelles dont elles disposent en vertu de la Charte des droits fondamentaux de l’Union européenne et de la directive sur la protection des données personnelles.
(v) La Cour de Justice relève que la Commission européenne s’est limitée à examiner le régime de la sphère de sécurité du Safe Harbour. L’arrêt insiste sur le fait que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États-Unis y soient elles-mêmes soumises. En outre, le régime du Safe Harbour admet que les exigences relatives à la sécurité nationale, à l’intérêt public et au respect des lois des États-Unis l’emportent sur le régime de la sphère de sécurité et puissent entrainer des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes.
(vi) Enfin, nous remarquons que l’arrêt de la Cour de justice ne fait mention d’aucune période de grâce qui permettrait aux entreprises américaines de mettre en place de nouvelles pratiques avant que le Safe Harbour ne soit plus valide.
2. Quelles sont les principales conséquences de cet arrêt ?
Conformément à la jurisprudence européenne, la décision d’invalidité du Safe Harbour doit être considérée comme immédiate, avec effet rétroactif, sur les transferts de données déjà opérés depuis l’entrée en vigueur du Safe Harbour en 2000. En conséquence, les entreprises ne peuvent plus se fonder sur le Safe Harbour pour poursuivre leurs transferts de données vers les Etats-Unis.
Il sera demandé à la Commission européenne de prendre toutes les mesures nécessaires pour se mettre en conformité avec l’arrêt de la CJUE. L’accord-cadre sur l’échange des données personnelles entre l’Union européenne et les Etats-Unis aux fins de prévention, de détection des infractions pénales, d’enquêtes et de poursuites pénales, notamment pour lutter contre le terrorisme est en cours de finalisation après l’achèvement, début septembre 2015, de la phase de négociation entre la Commission européenne et l’administration américaine. La Commission pourrait renégocier un nouveau « Safe Harbour » avec les Etats-Unis et l’inclure dans cet accord-cadre. Le nouveau « Safe Harbour », s’il est renégocié, devra prendre en considération l’arrêt de la Cour de justice et ses conséquences.
Dans cette optique, l’arrêt de la Cour de Justice rappelle l’obligation d’interpréter la directive de 1995 à la lumière de la Charte des droits fondamentaux de l’Union européenne. Cette obligation vaudra également pour le nouveau règlement européen sur la protection des données personnelles en cours de finalisation qui devra entrer en vigueur dans les prochains mois en remplacement de la directive de 1995. Cela limitera les possibilités pour le Parlement et le Conseil d’atténuer les principes et les conséquences de l’arrêt de la Cour de justice du 6 octobre 2015. Et cela pour longtemps.
En ce qui concerne l’affaire en cause, il reviendra à l’autorité de protection des données irlandaise d’examiner si le transfert des données des abonnés européens de Facebook vers les Etats-Unis doit être suspendu en raison du fait que le pays ne peut assurer un niveau adéquat de protection des données personnelles. Il doit être rappelé que la Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l’affaire conformément à l’arrêt de la Cour. Cet arrêt lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire.
3. Quelles sont nos recommandations ?
Se fonder sur les alternatives disponibles offertes par la directive sur la protection des données personnelles afin de poursuivre le transfert de données vers les Etats-Unis, comme des clauses contractuelles contraignantes ou les modèles de clauses de la Commission européenne pour les contrats de transfert de données.
En tant que responsable du traitement ou sous-traitant, conduire un audit de votre portefeuille de contrats de transfert de données et de vos procédures de traitement de données mises en œuvre dans ce domaine, afin d’identifier où et comment les flux de données s’organisent. Mettre à jour vos contrats concernés, à la lumière de l’arrêt du 6 octobre 2015, afin de s’assurer de leur conformité avec le droit de l’Union européenne des données personnelles.
Contacter les autorités de protection des données locales afin d’obtenir leur position et de mettre en œuvre leur recommandations pays par pays. La Commission européenne a annoncé qu’elle allait contacter les autorités nationales de supervision au sein de l’Union européenne afin de mettre en œuvre une action coordonnée à l’aune de l’arrêt de la Cour de Justice et de leur fournir des lignes directrices. Elle s’est également engagée à offrir de l’aide et de l’assistance aux entreprises qui recherchent des réponses sur la manière de faciliter les transferts de données à la lumière de l’arrêt. Ces informations et les personnes à contacter seront publiées sur le site de la Commission prochainement.
Rester concentrés sur les résultats des possibles renégociations du Safe Harbour et le cas échéant, conduire toute action pertinente afin de contribuer à l’orientation des résultats de ces négociations.
Liens :
• Décision de la CJUE
• Communiqué de presse officiel de la CJUE
• Réaction de la Commission européenne
N’hésitez pas à contacter notre équipe pour toute question.
***
English version
On October 6, 2015, the Court of Justice of the European Union (ECJ) has declared invalid the European Commission’s US Safe Harbour Decision rendered in 2000.
This Safe Harbour Framework had for its purpose to consider the US as offering an adequate level of data protection to data coming from the EU subject to compliance with a list of conditions by undertakings transferring the data.
Here are the major points of this new judgment which we thought may be of interest to your activity.
1. What are the major points of the October 6, 2015 judgment?
(i) The ruling relates to a case brought to the Irish High Court by Austrian citizen M. Schrems over the transfer of data to the US by an Irish subsidiary of Facebook.
(ii) The ECJ judgment (i.e. the answer to a question referred for a preliminary ruling), follows a legal opinion from Advocate General Yves Bots of September 23, 2015 arguing that the US Safe Harbour should be struck down.
(iii) Although this has been highly criticized by the United States, the ECJ holds that the European Commission did not make sure that the United States ensures, by reason of its domestic law or its international commitments, a level of protection of fundamental rights essentially equivalent to that guaranteed within the EU under the EU Directive on data protection read in the light of the Charter of Fundamental Rights of the European Union, as it was required to.
(iv) According to the ECJ, the European Commission’s Safe Harbour cannot usurp powers of EU data protection national authorities. It cannot reduce their powers available under the said EU Directive and Charter.
(v) The ECJ criticizes the European Commission for having merely examined the Safe Harbour scheme. The ruling highlights that such Safe Harbour scheme is only applicable to United States undertakings which adhere to it and does not bind United States public authorities. Also, the ECJ alleges that the Safe Harbour scheme enables interference with national security, public interest and law enforcement requirements that prevail over it.
(vi) According to the ECJ, a legislation permitting the public authorities to have access on a generalized basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life. This is allegedly particularly true when such legislation does not provide a possibility for an individual to pursue legal remedies in order to have access to, obtain the rectification or the erasure of personal data relating to him.
(vii) Finally, no reference is made in the ECJ’s ruling to any grace period that would allow US companies to establish their new arrangements before Safe Harbour ceases to be valid.
2. What are the main consequences of this judgment?
Under current EU case law, Safe Harbour framework’s invalidity shall be considered as immediate, with a retroactive effect on data transfers already conducted as of the implementation of the Safe Harbour in 2000. Therefore, companies may no more rely on the Safe Harbour for continuing any transfer of data to the US.
The European Commission is required to take the necessary measures to comply with the judgment of the ECJ considering that the Umbrella Agreement on the exchange of personal data between the EU and the US for the purpose of prevention, detection, investigation and prosecution of criminal offences, including terrorism is in the process of being finalized after achievement of the negotiation phase between the EU and the US early in September 2015. The Commission could negotiate a new “Safe Harbour” agreement with the US. If so renegotiated, it shall take account of the ECJ’s ruling and impact.
In this respect, clear reference is made in ECJ’s ruling to the obligation to read the 1995 EU Directive on data protection in light of the Charter of Fundamental Rights of the European Union. The same will apply to the awaited new EU Regulation on the protection of personal data which is supposed to enter into force in the coming months to replace the 1995 EU Directive. In view of this obligation, EU Parliament and Council, as well as Member States legislatures will be seriously limited, now and in the future, in any efforts to mitigate the effects of the october 6, 2015 Safe Harbour decision. And this shall be true for a long term.
Regarding the specific action of Mr. Schrems, the Irish DPA will have to examine whether the transfer of the data of Facebook’s European subscribers to the United States should be suspended on the ground that the country does not afford an adequate level of protection of personal data. One should remind oneself of the principal that “the Court of Justice does not decide the dispute itself. It is for the national court or tribunal to dispose of the case in accordance with the Court’s judgment, which is similarly binding on other national courts or tribunals before which a similar issue is raised”.
3. What are our recommendations by now ?
Relying on available alternative ways offered by the Directive on data protection to continue transferring data to the US i.e. binding corporate rules or European Commission model clauses for data transfer agreements.
In your capacity as data controller or data processor, auditing your existing data transfer contracts portfolio and data processing procedures implemented in the field, to identify where and how data flows are taking place. Update your relevant contracts in light of October 6, 2015 ECJ’s ruling to ensure compliance with EU law on data protection.
Contacting the competent local supervisory authorities to obtain their position and implement their recommendations on a country by country basis. The European Commission has announced that it will contact the national supervisory authorities in the EU in order to implement a coordinated action in light of the ECJ’s ruling and provide them with practical guidelines. It also commits to offer assistance and help to businesses who are looking for answers on how to facilitate data transfers in light of the decision. Relevant information and contact points will be published on the Commission’s website hopefully soon.
Staying focused on results of the possible renegotiation of the Safe Harbour Agreement and as the case may be, conducting any pertinent action to contribute to the orientation of these negotiations’ results.
Links :
• Decision rendered by the ECJ
• Official press release of the ECJ
• Comment by the European Commission
Should you have any question, please do not hesitate to contact our team.
Liens / Links
Contact
Site Internet / Website
A PROPOS DE DE GAULLE FLEURANCE & ASSOCIES :
De Gaulle Fleurance & Associés, société d’avocats d’affaires indépendante full service intégré, compte plus de 100 avocats et juristes et offre à une clientèle française et internationale un service complet en conseil et en contentieux, une expertise basée sur l’expérience internationale de ses avocats et un réseau qualifié de cabinets good friends à l’étranger.
L’organisation de De Gaulle Fleurance & Associés est structurée en 2 pôles (Structure et Exploitation) et permet de proposer une approche transversale des dossiers.
Les activités du Pôle Structure touchent aux actifs des acteurs économiques, à leur gouvernance et à leur financement.
Les activités du Pôle Exploitation couvrent les activités industrielles et commerciales et plus généralement le fonctionnement opérationnel des entreprises.
ABOUT DE GAULLE FLEURANCE & ASSOCIES :
De Gaulle Fleurance & Associés is an integrated full service independent law firm, with more than 100 lawyers offering a full consulting and litigation service to its French and international clients, extensive expertise based on international experience and a tried and tested network of « good friends » abroad.
The organization of De Gaulle Fleurance & Associés is divided into two divisions (Structure and Operations), which enables a transversal approach to legal cases.
Activities of the Structure Division deal with business assets and public entities, their governance and funding.
The Operations Division covers industrial and commercial activity and more generally the day-to-day running of businesses.
labodiplo 