La protection des données personnelles n’en est pas à sa première péripétie, et c’est encore une affaire importante qui pourrait être examinée par la Cour de justice de l’Union européenne (CJUE) prochainement.

Il est aujourd’hui question du transfert des données personnelles en dehors de l’UE par le biais de des fameuses clauses types ou BCR (« Binding Corporate Rules ») après l’invalidation récente du dispositif « Safe Harbor » (« sphère de sécurité ») pour le transfert des données personnelles vers les USA.

Pour rappel la réglementation européenne autorise l’envoi de données personnelles vers un pays tiers à l’Union, si le pays en question assure un niveau de protection adéquat à ces données, c’est à dire conforme à l’ensemble des exigences de la Directive de 1995 sur le sujet, telle que modifiée. La Commission peut, dans ce cadre, constater qu’un pays assure par sa législation interne ou ses engagements internationaux, un niveau de protection adéquat.

Les responsables de traitement encadrent donc les transferts de ces données (i) soit par la signature des clauses types ou BCR (« Binding Corporate Rules ») soit (ii), pour ce qui concerne les USA, par la conformité du destinataire des données avec le dispositif Safe HArbor.

Le 6 octobre 2015, dans une décision portant sur la plainte d’un habitant de l’UE contre Facebook, la CJUE a invalidé une décision de la Commission européenne datant de juillet 2000 qui avait constaté que les Etats-Unis dans le cadre du dispositif Safe Harbor assuraient ce niveau adéquat de protection et autorisait donc les transferts de données personnelles vers les entreprises conformes à ce dispositif.

Les raisons qui ont poussé à l’invalidation du Safe Harbor ne tiennent pas qu’à la façon dont le programme Facebook était structuré, mais aussi à l’impuissance face à l’action des services secrets américains.

Pour ce faire, la Cour a retenu des éléments d’atteinte au contenu essentiel des droits fondamentaux dont le respect de la vie privée et le droit à une protection juridictionnelle effective.

Depuis cette date, aucune société ne peut s’appuyer sur le dispositif américain Safe Harbor pour garantir un transfert des données personnelles vers les Etats-Unis. Afin de parer cette déconvenue, les sociétés ont commencé à utiliser des fameuses clauses types ou BCR (« Binding Corporate Rules ») adoptées par la Commission Européenne afin de garantir un transfert possible de données toujours protégées.

Il est également question de trouver un système venant remplacer le Safe Harbor pour protéger de manière adéquate les données personnelles circulantes entre UE et USA.

Cependant, depuis peu l’autorité nationale irlandaise de protection des données personnelles souhaiterait faire analyser de la même manière la validité de ces BCR par la CJUE. Ces clauses se révèleraient également impuissantes face aux actions des services secrets américains, comme c’était le cas pour Safe Harbor avant son invalidation.

Cette nouvelle saisine de la CJUE emporterait de fortes conséquences pour le transfert de données vers tout pays tiers, notamment pour la Commission européenne qui n’aurait pu le contrôle sur cette question – tout comme le G29 (Groupe de travail Article 29 sur la protection des données de l’Union européenne).